配置回源SNI--全站加速-火山引擎

文档中心

导航

配置回源SNI

最近更新时间：2024.08.06 15:06:55首次发布时间：2023.09.05 15:38:55

基本概念

基本概念	描述
SNI	SNI（Server Name Indication）是SSL/TLS协议的扩展。当客户端通过 HTTPS 访问服务器时，如果服务器上有多个站点、已配置多个证书，在传统TLS 握手过程中，服务器无法获取客户端请求的域名信息，因此不能确定使用哪个证书进行验证。一个IP地址上配置了多个证书时，客户端在发送请求时通过SNI扩展指明需要访问的域名，以便服务器选择适当的证书进行响应。从而解决了一个 HTTPS 服务器具有多个域名但无法区分客户端访问哪个域名的问题。
回源 HOST	当源站包含多个站点时: 边缘节点使用 HTTP 协议访问源站服务器时，如果开启了回源HOST，全站加速会将 HTTP 请求头中的 Host 字段传递给边缘节点，以便源站服务器可以根据 Host 字段判断边缘节点所请求的目标站点。边缘节点使用 HTTPS 协议访问源站服务器时，在TLS握手的初始阶段，Host 信息还未被传递到源站服务器。此时，源站服务器无法通过 Host 字段判断需要发送给边缘节点的证书，您需要启用回源SNI功能。
回源 SNI	如果边缘节点在开启回源 SNI 的情况下通过 HTTPS 访问源站服务器，HTTPS 请求头中的 SNI 字段将被传递给源站服务器。这使得源站服务器可以基于 SNI 字段判断边缘节点所请求的目标站点，并返回匹配的SSL证书给边缘节点。

描述

SNI

SNI（Server Name Indication）是SSL/TLS协议的扩展。当客户端通过 HTTPS 访问服务器时，如果服务器上有多个站点、已配置多个证书，在传统TLS 握手过程中，服务器无法获取客户端请求的域名信息，因此不能确定使用哪个证书进行验证。一个IP地址上配置了多个证书时，客户端在发送请求时通过SNI扩展指明需要访问的域名，以便服务器选择适当的证书进行响应。从而解决了一个 HTTPS 服务器具有多个域名但无法区分客户端访问哪个域名的问题。

回源 HOST

当源站包含多个站点时:

边缘节点使用 HTTP 协议访问源站服务器时，如果开启了回源HOST，全站加速会将 HTTP 请求头中的 Host 字段传递给边缘节点，以便源站服务器可以根据 Host 字段判断边缘节点所请求的目标站点。
边缘节点使用 HTTPS 协议访问源站服务器时，在TLS握手的初始阶段，Host 信息还未被传递到源站服务器。此时，源站服务器无法通过 Host 字段判断需要发送给边缘节点的证书，您需要启用回源SNI功能。

回源 SNI

如果边缘节点在开启回源 SNI 的情况下通过 HTTPS 访问源站服务器，HTTPS 请求头中的 SNI 字段将被传递给源站服务器。这使得源站服务器可以基于 SNI 字段判断边缘节点所请求的目标站点，并返回匹配的SSL证书给边缘节点。

操作背景

当回源协议为HTTPS，且源站包含多个站点时，需要配置回源SNI。当边缘节点访问源站服务器时，源站服务器可以根据SNI字段确定请求的目标站点，并返回匹配的SSL证书给边缘节点。

说明

未开启回源 SNI 功能时，若没有指定回源 Host 域名，回源 SNI 域名默认与加速域名相同，若指定了回源 Host 域名，回源 SNI 域名与回源 Host 域名相同。

操作步骤

登录全站加速控制台。
点击左侧导航栏 域名管理 ，进入 域名管理 页面后，点击待配置的加速域名名称。
在域名管理页面，点击 回源配置 ，再点击编辑。
在 回源配置 标签页，设置 回源SNI 为开启，输入具体访问的域名，SNI域名必须为精准域名。
点击提交完成对加速域名的 SNI 配置。
说明
如果您的域名配置了多个源站，由于系统不支持为不同的源站指定不同的SNI，通过回源SNI功能，所有源站将共用一个回源SNI值。在这种情况下，所有回源请求都会被指向与这个SNI值对应的域名。