SNI ベースの SSL プロファイルに関するよく尋ねられる質問については、このトピックで説明します。

1. サーバ名インディケーション (SNI) とは何ですか。

   サーバ名インディケーション (SNI) は、SSL が有効な仮想サービス IP アドレスの複数のドメイン名を仮想的にホストする手法です。1 つの仮想サービス IP アドレスが複数の仮想サービスに広報されます。

2. SNI に基づいて構成できるさまざまな SSL プロファイルには何がありますか。

   SNI ベースの親および子仮想サービスは、2 つの異なる SSL プロファイルを使用して構成できます。1 つの SSL プロファイルを親仮想サービスに設定し、もう 1 つの SSL プロファイルを子仮想サービスに関連付けることができます。

3. 親仮想サービスと子仮想サービスを構成することのメリットは何ですか。

   親 SSL プロファイルと子 SSL プロファイルの設定は異なる場合があります。これにより、柔軟性が非常に高まり、制御権が提供されるため、ユーザーは子レベルで SSL 構成を定義できます。

4. 親仮想サービスと子仮想サービスが構成されている場合、SSL ハンドシェイクはどのように行われますか。親仮想サービスと子仮想サービスが構成されている場合の SSL ハンドシェイクの通信フローは次のとおりです。

   1. TCP ハンドシェイクは親仮想サービスによって処理されます。

   2. クライアント Hello が親仮想サービスに送信されます。

   3. クライアント Hello には SNI が含まれているため、NSX Advanced Load Balancer は子仮想サービスを選択できます。

   4. 子の SSL プロファイルは、（SSL/TLS バージョンに基づいて）許可または拒否し、暗号を選択するために使用されます。

   5. 子仮想サービスは、暗号と子証明書を含むサーバ Hello で応答します。

5. 子仮想サービスで SSL プロファイルが指定されていない場合はどうなりますか。

   子仮想サービスで SSL プロファイルが指定されていない場合、子仮想サービスはデフォルトで親仮想サービスの SSL プロファイルを使用します。