本主题介绍了有关基于 SNI 的 SSL 配置文件的常见问题。
什么是服务器名称指示 (SNI)?
服务器名称指示 (SNI) 提供了一种方法,为启用了 SSL 的虚拟服务 IP 虚拟托管多个域名。将为多个虚拟服务通告单个虚拟服务 IP。
可以根据 SNI 配置哪些不同的 SSL 配置文件?
可以为基于 SNI 的父虚拟服务和子虚拟服务配置两个不同的 SSL 配置文件。可以为父虚拟服务设置一个 SSL 配置文件,并将另一个 SSL 配置文件与子虚拟服务相关联。
配置父虚拟服务和子虚拟服务有什么好处?
父虚拟服务和子虚拟服务 SSL 配置文件可以具有不同的设置。这为用户在子虚拟服务级别定义 SSL 配置提供了很大的灵活性和控制权。
在配置父虚拟服务和子虚拟服务时如何进行 SSL 握手?以下是配置父虚拟服务和子虚拟服务时进行 SSL 握手的通信流程:
TCP 握手是由父虚拟服务处理的。
客户端 Hello 传输到父虚拟服务。
客户端 Hello 包含 SNI,因此,NSX Advanced Load Balancer 能够选择子虚拟服务。
子虚拟服务的 SSL 配置文件用于允许或拒绝(根据 SSL/TLS 版本)以及选择密码。
子虚拟服务使用服务器 Hello 进行响应,其中包含密码和子虚拟服务证书。
如果在子虚拟服务上未指定 SSL 配置文件,会发生什么情况?
如果在子虚拟服务上未指定 SSL 配置文件,子虚拟服务默认使用父虚拟服务的 SSL 配置文件。