当您需要在同一个监听中将不同域名的HTTPS访问请求转发至不同的后端服务器组,您可使用CLB的扩展域名功能,通过在HTTPS监听挂载多个SSL证书,将来自不同访问域名的请求转发至不同的后端服务器组。
基本概念
服务器名称指示(Server Name Indication,SNI),是对SSL/TLS协议的扩展,允许在单个IP地址上承载多个SSL证书。当客户端访问负载均衡时,默认使用访问域名配置的证书解密。如果找不到匹配的证书,则使用监听配置的证书。
使用限制
仅性能保障型CLB实例支持SNI。
目前CLB支持如下公钥算法:
RSA 1024
RSA 2048
RSA 4096
注意事项
添加的扩展域名与选择服务器证书中的域名必须一致。
如果您配置多个泛域名证书,则只有第一个泛域名证书会自动匹配所有符合条件的子域名请求。后续的泛域名证书不会自动匹配,您必须为每个具体的子域名单独配置扩展域名,并明确指定使用对应泛域名证书。
例如,若您先配置
*.example.com证书,然后配置*.test.com证书,那么对于abc.example.com的子域名请求会自动匹配,abc.test.com请求默认不会自动匹配,您需要为abc.test.com重新配置扩展域名,并指定使用*.test.com证书。
前提条件
您已创建CLB实例,并为该实例配置了HTTPS监听。具体操作,请参见添加HTTPS监听。
添加扩展域名
在实例管理页面,单击目标实例ID。
在监听页签,找到已创建的HTTPS监听,在操作列选择
>扩展域名管理。 在扩展域名管理面板,单击添加扩展域名。
输入扩展域名。
合法域名检测,请参见阿里云域名检测工具。
域名转发策略支持精确匹配和通配符匹配两种模式:
精确域名:www.aliyun.com
通配符域名(泛域名): *.aliyun.com, *.market.aliyun.com
当前端请求同时匹配多条域名策略时,策略的匹配优先级为:精确匹配>小范围通配符匹配>大范围通配符匹配。
说明下表中“✓”代表匹配,“×”代表不匹配。
模式
请求测试URL
配置的域名转发策略
www.aliyun.com
*.aliyun.com
*.market.aliyun.com
精确匹配
www.aliyun.com
✓
×
×
泛域名匹配
market.aliyun.com
×
✓
×
泛域名匹配
info.market.aliyun.com
×
×
✓
选择该域名关联的服务器证书。
单击确定。
扩展域名需要和转发策略配合使用才能生效。
可选:执行以下步骤,配置转发策略。
在提示页面,单击去配置,或者在实例管理页面,单击目标实例ID进入监听页签,找到已创建的HTTPS监听,在操作列单击配置转发策略。
在配置转发策略面板,输入域名并配置URL及转发规则,单击添加转发策略。
更多信息,请参见单CLB实例配置多域名HTTPS网站。
说明请确保转发策略中配置的域名和您添加的扩展域名一致。
编辑扩展域名
您可以替换已添加的扩展域名使用的证书。
在实例管理页面,单击实例的ID。
单击监听页签,找到已创建的HTTPS监听,在操作列选择
>扩展域名管理。在扩展域名管理页面,找到目标扩展域名,在操作列单击编辑。
在修改扩展域名页面,选择新的证书,然后单击确定。
删除扩展域名
当扩展域名不需要使用时,可以删除扩展域名。
在实例管理页面,单击实例的ID。
单击监听页签,找到已创建的HTTPS监听,在操作列选择
>扩展域名管理。在扩展域名管理页面,找到目标扩展域名,在操作列单击删除。
在弹出的删除对话框中,单击确定。
常见问题
已购买服务器证书,但在扩展域名管理中选不到购买的服务器证书?
若您购买的服务器证书为阿里云的SSL证书,您需要在传统型负载均衡CLB控制台的证书管理页面,选择阿里云签发证书方式部署该证书。
若您购买的服务器证书为非阿里云签发的证书,您需要在传统型负载均衡CLB控制台的证书管理页面,选择上传非阿里云签发证书方式部署该证书。
相关文档
多域名网站配置教程,您可参考单CLB实例配置多域名HTTPS网站。
如果您想将来自相同域名不同路径的请求转发给不同的后端服务器组,您可参考通过配置相同域名不同路径的转发策略实现精准流量转发。