sni证书-凯发k8国际娱乐官网入口

操作场景

本章节指导用户通过配置https和tls监听器绑定多个证书，实现同一个监听器根据多个域名自动选择证书来完成https认证和访问后端的诉求。

您需要在创建https和tls监听器时开启sni功能。sni（server name indication）是为了解决一个服务器使用域名证书的tls扩展，开启sni之后，用户需要添加域名对应的证书。开启sni后，允许客户端在发起ssl握手请求时就提交请求的域名信息，负载均衡收到ssl请求后，会根据域名去查找证书，如果找到域名对应的证书，则返回该证书；如果没有找到域名对应的证书，则返回缺省证书。

负载均衡在配置https和tls 监听器时，支持此功能，支持绑定多个证书。

约束与限制

一个https监听器默认支持配置30个sni证书，监听器关联的所有sni证书默认支持的域名总数为30个。

独享型负载均衡的监听器最多支持50个sni证书，如您有需求，可提交进行处理。

前提条件

• 已创建负载均衡器，具体步骤可参照或。
• 已经创建https监听器，具体步骤可参照。

• 已经创建用于sni证书，具体步骤可参照。

• 用于sni的证书，需要指定域名，指定的域名必须与证书中的域名保持一致。
• 目前支持一个域名可以同时绑定ecc类型的证书和rsa类型的证书，在选择sni证书时，支持选择同域名绑定的两个证书，在使用时，会优先选择ecc类型的证书。
• sni证书匹配规则：

  当证书的域名为*.test.com，那么可支持a.test.com、b.test.com等，不支持a.b.test.com、c.d.test.com等。

  且依据最长尾缀匹配：当证书中的域名同时存在*.b.test.com和*.test.com时，那么a.b.test.com会优先匹配到*.b.test.com。

• elb不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书，详见。

下图中的cer-default为创建https监听器时绑定的默认证书，cert-test01和cert-test02为新创建的用于sni的证书。

其中，证书cert-test01填写的域名为www.test01.com、cert-test02填写的域名为www.test02.com。

如果访问负载均衡的域名与sni证书匹配成功，则会返回sni的证书认证鉴权。如果匹配失败，则会返回默认证书认证鉴权。

图1 配置证书说明

操作步骤

1. 登录管理控制台。
2. 在管理控制台左上角单击图标，选择区域和项目。
3. 单击页面左上角的，选择“网络 > 弹性负载均衡”。

4. 在“负载均衡器”界面，单击负载均衡名称。
5. 在“监听器”页签，单击需要添加sni的监听器名称。
6. 在监听器基本信息页面，单击sni右侧“配置”。
7. 开启sni的开关，选择需要配置的sni证书。
   图2 配置sni证书
   
8. 单击“确定”。