全部产品
Search
文档中心

边缘安全加速:回源SNI

更新时间:Oct 25, 2024

如果源站IP绑定了多个域名,则边缘节点以HTTPS协议访问源站时,必须设置访问具体哪个域名(即SNI),源站将根据配置的SNI名称返回对应域名的SSL证书,以确保正常回源。

背景信息

SNI(Server Name Indication)是对SSL/TLS协议的扩展,允许服务器在单个IP地址上承载多个SSL证书,可解决一个HTTPS服务器拥有多个域名但是无法预知客户端到底请求的是哪一个域名的服务的问题。开启SNI后,在边缘安全加速 ESA节点向源站发起TLS握手请求时,源站会根据TLS握手请求中携带的SNI信息来确认被请求的业务域名,返回正确的SSL证书给边缘安全加速 ESA节点。

重要

源站的服务端需要支持解析TLS握手请求中包含的SNI信息。

回源SNI的工作原理如下图所示。

image

回源SNI的工作流程如下:

  1. 边缘安全加速 ESA节点以HTTPS协议访问源站时,需要在SNI中指定访问的具体域名(如:example.com)。

  2. 源站接收到请求后,根据SNI中记录的域名,返回对应域名的证书(即example.com的证书)。

  3. 边缘安全加速 ESA节点收到证书,与服务器端建立安全连接。

创建回源SNI规则

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择规则 > 回源规则

  5. 单击新建规则,填写规则名称

  6. 当请求匹配以下规则时...区域设置要匹配的用户请求特征,单击回源SNI区域的配置,配置回源SNI值。

  7. 单击确定