sni证书-凯发k8国际娱乐官网入口
操作场景
本章节指导用户通过配置https和tls监听器绑定多个证书,实现同一个监听器根据多个域名自动选择证书来完成https认证和访问后端的诉求。
您需要在创建https和tls监听器时开启sni功能。sni(server name indication)是为了解决一个服务器使用域名证书的tls扩展,开启sni之后,用户需要添加域名对应的证书。开启sni后,允许客户端在发起ssl握手请求时就提交请求的域名信息,负载均衡收到ssl请求后,会根据域名去查找证书,如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回缺省证书。
负载均衡在配置https和tls 监听器时,支持此功能,支持绑定多个证书。
约束与限制
独享型负载均衡的监听器最多支持50个sni证书,如您有需求,可提交进行处理。
前提条件
- 已创建负载均衡器,具体步骤可参照或。
- 已经创建https监听器,具体步骤可参照。
- 已经创建用于sni证书,具体步骤可参照。
- 用于sni的证书,需要指定域名,指定的域名必须与证书中的域名保持一致。
- 目前支持一个域名可以同时绑定ecc类型的证书和rsa类型的证书,在选择sni证书时,支持选择同域名绑定的两个证书,在使用时,会优先选择ecc类型的证书。
- sni证书匹配规则:
当证书的域名为*.test.com,那么可支持a.test.com、b.test.com等,不支持a.b.test.com、c.d.test.com等。
且依据最长尾缀匹配:当证书中的域名同时存在*.b.test.com和*.test.com时,那么a.b.test.com会优先匹配到*.b.test.com。
- elb不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书,详见。
下图中的cer-default为创建https监听器时绑定的默认证书,cert-test01和cert-test02为新创建的用于sni的证书。
其中,证书cert-test01填写的域名为www.test01.com、cert-test02填写的域名为www.test02.com。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 单击页面左上角的,选择“网络 > 弹性负载均衡”。
- 在“负载均衡器”界面,单击负载均衡名称。
- 在“监听器”页签,单击需要添加sni的监听器名称。
- 在监听器基本信息页面,单击sni右侧“配置”。
- 开启sni的开关,选择需要配置的sni证书。
图2 配置sni证书
- 单击“确定”。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨