CLB扩展域名

当您需要在同一个监听中将不同域名的HTTPS访问请求转发至不同的后端服务器组,您可使用CLB的扩展域名功能,通过在HTTPS监听挂载多个SSL证书,将来自不同访问域名的请求转发至不同的后端服务器组。

基本概念

服务器名称指示(Server Name Indication,SNI),是对SSL/TLS协议的扩展,允许在单个IP地址上承载多个SSL证书。当客户端访问负载均衡时,默认使用访问域名配置的证书解密。如果找不到匹配的证书,则使用监听配置的证书。

使用限制

  • 仅性能保障型CLB实例支持SNI。

  • 目前CLB支持如下公钥算法:

    • RSA 1024

    • RSA 2048

    • RSA 4096

    • ECDSA P-256

    • ECDSA P-384

    • ECDSA P-521

前提条件

  • 您已创建CLB实例,并为该实例配置了HTTPS监听。具体操作,请参见添加HTTPS监听

  • 扩展域名使用注意事项您可参考CLB扩展域名

添加扩展域名

  1. 登录传统型负载均衡CLB控制台

  2. 实例管理页面,单击目标实例ID。

  3. 监听页签,找到已创建的HTTPS监听,在操作列选择image.png>扩展域名管理

  4. 扩展域名管理面板,单击添加扩展域名

    1. 输入扩展域名。

      合法域名检测,请参见阿里云域名检测工具

      域名转发策略支持精确匹配和通配符匹配两种模式:

      • 精确域名:www.aliyun.com

      • 通配符域名(泛域名): *.aliyun.com, *.market.aliyun.com

        当前端请求同时匹配多条域名策略时,策略的匹配优先级为:精确匹配>小范围通配符匹配>大范围通配符匹配。

        说明

        下表中”✓“代表匹配,“×”代表不匹配。

        模式

        请求测试URL

        配置的域名转发策略

        www.aliyun.com

        *.aliyun.com

        *.market.aliyun.com

        精确匹配

        www.aliyun.com

        ×

        ×

        泛域名匹配

        market.aliyun.com

        ×

        ×

        泛域名匹配

        info.market.aliyun.com

        ×

        ×

    2. 选择该域名关联的服务器证书。

      说明
      • 证书中的域名和您添加的扩展域名必须一致。

      • 如果您配置了泛域名证书,则只有第一个泛域名证书可以被自动匹配。

    3. 单击确定

      扩展域名需要和转发策略配合使用才能生效。

  5. 可选:执行以下步骤,配置转发策略。

    1. 提示页面,单击去配置,或者在实例管理页面,单击目标实例ID进入监听页签,找到已创建的HTTPS监听,在操作列单击配置转发策略

    2. 配置转发策略面板,输入域名并配置URL及转发规则,单击添加转发策略

    更多信息,请参见基于域名或URL路径进行转发

    说明

    请确保转发策略中配置的域名和您添加的扩展域名一致。

编辑扩展域名

您可以替换已添加的扩展域名使用的证书。

  1. 登录传统型负载均衡CLB控制台
  2. 实例管理页面,单击实例的ID。

  3. 单击监听页签,找到已创建的HTTPS监听,在操作列选择 更多>扩展域名管理

  4. 扩展域名管理页面,找到目标扩展域名,在操作列单击编辑

  5. 修改扩展域名页面,选择新的证书,然后单击确定

删除扩展域名

当扩展域名不需要使用时,可以删除扩展域名。

  1. 登录传统型负载均衡CLB控制台
  2. 实例管理页面,单击实例的ID。

  3. 单击监听页签,找到已创建的HTTPS监听,在操作列选择更多>扩展域名管理

  4. 扩展域名管理页面,找到目标扩展域名,在操作列单击删除

  5. 在弹出的删除对话框中,单击确定

相关文档