すべてのプロダクト
Search
ドキュメントセンター

CDN:SNIの設定

最終更新日:Mar 14, 2024

オリジンサーバーのIPアドレスが複数のドメイン名に関連付けられており、リクエストがHTTPS経由でオリジンサーバーにリダイレクトされる場合は、オリジンサーバーのサーバー名表示 (SNI) 機能を設定する必要があります。 SNIは、要求が送信されるドメイン名を指定します。 オリジンサーバーは、SNIに基づいて対応するSSL証明書を返します。

背景情報

SNIは、TLS/SSLプロトコルの拡張であり、これにより、クライアントは、ハンドシェイクプロセスの開始時にどのホスト名に接続しようとしているかを決定する。 SNIを使用すると、サーバーは同じIPアドレスで複数のSSL証明書を提示できます。 SNIを有効にした後、ポイントオブプレゼンス (POP) がTLSハンドシェイク要求を配信元サーバーに送信すると、配信元サーバーは、TLSハンドシェイク要求に含まれるSNI情報に基づいて、要求されたドメイン名を決定します。 その後、オリジンサーバーは正しいSSL証明書を返します。

重要
  • オリジンサーバーは、TLSハンドシェーク要求で伝送されるSNI情報を解析できる必要があります。

  • 複数のオリジンサーバーが高速化ドメイン名に設定されている場合、Alibaba Cloud CDNコンソールでオリジンSNI機能を設定できます。 このように、すべてのオリジンフェッチリクエストは、SNI値に対応するドメイン名を指します。 異なるオリジンサーバーに対して異なるSNI値を指定する場合は、チケットを起票

SNIのしくみを次の図に示します。

image

オリジンSNIは、次のプロセスに基づいて動作します。

  1. POPはHTTPS経由でオリジンサーバーにリクエストをリダイレクトします。 s example.comのような、要求が向けられるドメイン名は、SNIによって指定される。

  2. オリジンサーバーがリクエストを受信した後、リクエストされたドメイン名の証明書 (SNIに基づくs example.comなど) で応答します。

  3. POPが証明書を受信した後、POPはオリジンサーバーへの安全な接続を確立します。

手順

  1. Alibaba Cloud CDNコンソール

  2. 左側のナビゲーションウィンドウで、ドメイン名 をクリックします。

  3. [ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。

  4. ドメイン名の左側のナビゲーションツリーで、Back-to-Origin 設定 をクリックします。

  5. 設定 タブで、オリジンフェッチ SNI セクションを見つけ、変更 をクリックします。

  6. オリジンフェッチ SNI ダイアログボックスで、有効化 をオンにし、クライアントがcdn.console.aliyun.comなどのリソースを取得できるドメイン名を入力します。

    説明

    SNIは特定のドメイン名のみをサポートします。 ワイルドカードドメイン名はサポートされていません。

    image.png

  7. OK をクリックします。