文档

配置回源SNI

更新时间:

如果您的源站IP绑定了多个域名,且回源协议为HTTPS时,需通过配置回源SNI指明所请求的具体域名,源站根据配置的SNI名称返回对应域名的SSL证书,以确保正常回源。

背景信息

SNI(Server Name Indication)是对SSL/TLS协议的扩展,允许服务器在单个IP地址上承载多个SSL证书,可解决一个HTTPS服务器拥有多个域名但是无法预知客户端到底请求的是哪一个域名的服务问题。开启SNI后,在CDN节点向源站发起TLS握手请求时,源站会根据TLS握手请求中携带的SNI信息来确认被请求的业务域名,返回正确的SSL证书给CDN节点。

重要
  • 源站的服务端需要支持解析TLS握手请求中包含的SNI信息。

  • 如果加速域名配置了多个源站,通过控制台配置SNI功能,所有源站地址会共用一个回源SNI值,那么回源请求都会指向SNI值对应的域名。如果您希望不同的源站,配置不同的SNI值,您可以填写信息申请。

回源SNI的工作原理如下图所示。

image

回源SNI的工作流程如下:

  1. CDN节点以HTTPS协议访问源站时,需要在SNI中指定访问的具体域名(如:example.com)。

  2. 源站接收到请求后,根据SNI中记录的域名,返回对应域名的证书(即example.com的证书)。

  3. CDN节点收到证书,与服务器端建立安全连接。

操作步骤

  1. 登录CDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,找到目标域名,单击操作列的管理

  4. 在指定域名的左侧导航栏,单击回源配置

  5. 配置页签下找到回源SNI,单击修改配置

  6. 回源SNI对话框,打开回源SNI开关,输入您希望客户端从哪个域名获取资源(例如:example.com)。

    说明

    回源SNI配置的值只能是精确域名,不能是泛域名。

    image.png

  7. 单击确定,完成配置。

  • 本页导读 (1)
文档反馈