本文介绍如何在火山引擎应用型负载均衡（ALB）控制台中配置 SNI。

SNI 概述

SNI 是 SSL/TLS 协议的扩展字段。SNI 的全称是 Server Name Indication。SNI 允许服务端对其托管的站点域名部署不同的证书，并且在 TLS 握手阶段就能使服务端获取到请求的目标域名信息。这样服务端就能发送相应域名的证书给客户端用于数据的加密传输。

ALB 对 SNI 的支持

ALB 的 HTTPS 监听器支持 SNI。为了使监听器能处理客户端发送的包含 SNI 字段的请求，需要为监听器配置目标域名的证书。在 ALB 控制台中，配置域名证书的操作称为配置扩展域名。一个 HTTPS 监听器最多可以配置 20 个扩展域名。

前提条件

• 您已经创建了一个 ALB 实例。
• 您已经创建了一个 HTTPS 监听器，QUIC 监听器或者 HTTP/2 监听器。

操作步骤

1. 登录应用型负载均衡控制台。

2. 在 实例管理 页面上，找到需要配置的 ALB 实例。

3. 在 操作 列上，点击 配置监听器。

4. 在 监听器 标签页上，找到需要配置 SNI 的 HTTPS 监听器。

5. 在 操作 列，点击更多，然后点击 扩展证书。
   

6. 在 扩展证书 页面，点击 编辑。
   

7. 在 编辑扩展证书 页面，点击 扩展证书 右边的加号。
   在 编辑扩展证书 页面上有一个默认证书。如果请求中的域名未匹配任何扩展域名，监听器则返回默认证书。
   

8. 输入域名，然后选择域名所关联的证书。支持输入泛域名，此时证书也应该是关联该泛域名的证书。推荐您使用火山引擎证书中心的证书。如果使用ALB侧已有的证书，请参见添加/删除证书。

   注意

   • 输入域名时，只允许包含小写字母、数字、.、-、*，至少包含一个 .，且不允许以 . 开头、结尾。
   • 输入泛域名时，具体规则如下：
     • 仅支持同级的泛域名匹配。
     • 匹配优先级：泛域名低于精准域名的匹配。即先匹配精准域名，没有匹配的精准域名，再匹配同级泛域名。
     • 例如：
       • a.test.com的转发规则，域名可以优先匹配到*.test.com的扩展证书。
       • *.test.com的转发规则，域名可以匹配到*.test.com的扩展证书。
       • a.b.test.com匹配不到*.test.com的扩展证书。（不同级）
       • test.com匹配不到*.test.com的扩展证书。（不同级）

   说明

   • ALB已与火山引擎证书中心联动，您可前往证书中心控制台上传证书。在证书中心控制台，您可以进行证书的购买、上传、管理等操作，使用更加便捷。
   • 在火山引擎证书中心控制台上传证书后，如果您使用证书中心的证书，在ALB控制台您可以直接选择某个具体的证书。

9. 如果您需要添加其他域名，可以继续点击加号。所有域名添加完成后，点击 确定。

10. 在您配置扩展域名后，只有在监听器中配置了该域名的转发规则，相应的证书才会配置生效。比如若您配置了 test.com 的扩展域名，需要在该监听器转发规则中单独配置一条 test.com 的转发规则，域名证书才会下发生效。更多配置转发规则操作，详见转发规则。