NSX Advanced Load Balancer SSL 支持包括多级域名支持。多级域支持允许为池配置包含多个域名的列表,以验证服务器证书。在后端服务器和服务引擎 (SE) 之间建立 SSL 会话期间,NSX Advanced Load Balancer 检查服务器证书是否包含池中列出的域名。如果在证书中找到任何域名,则允许 SSL 会话。不过,如果后端服务器提供的证书不包含池中列出的任何域名,则不允许 SSL 会话。
在池配置中,用于保护到后端服务器的连接的 SSL 设置包括一个启用主机标头检查的选项。在启用该选项后,可以指定域名列表。用于验证证书的服务器名称的匹配类型取决于以下选项的配置方式。
主机标头检查 |
域名列表 |
如何执行服务器名称匹配 |
---|---|---|
否 |
不可配置 |
不检查 |
是 |
否 |
证书的公用名称或主体备用名称字段中的域名必须与请求 URL 的主机名匹配。如果配置了域名列表,但与证书中的任何名称不匹配,则会拒绝连接。 |
是 |
是 |
证书的公用名称或主体备用名称字段中的域名必须与池的域名列表中的域名匹配。如果请求的主机名与证书中的主机名不匹配,则会拒绝连接。 |
配置多级域支持
导航到
。单击池名称旁边的编辑图标;如果要创建新的池,请单击创建池。
在设置选项卡上,选中通过 SSL 访问后端服务器复选框。将显示池的其他 SSL 配置字段。
选中主机标头检查复选框。将显示域名字段。
要根据请求 URL 主机名进行严格检查,请保留默认选中的主机标头检查复选框,并将域名字段保留空白。
要根据域名列表进行检查,请在域名字段中输入这些域名。
要保存池,请单击下一步,直到显示检查选项卡,然后单击保存。
注:如果创建新的池,需要提供一个名称,然后才能保存该池。