如何配置默认回源SNI?
参考资料
如何配置默认回源SNI?
CDN 配置默认回源 SNI 指南
1. 什么是回源 SNI?
SNI(Server Name Indication)是 TLS 扩展,用于在 HTTPS 回源时指定目标服务器的主机名,确保 CDN 正确访问源站。
2. 配置默认回源 SNI 步骤
登录 CDN 控制台(如阿里云、腾讯云、AWS CloudFront 等)。
进入域名管理,选择需要配置的加速域名。
找到回源配置(通常在“回源设置”或“HTTPS 配置”中)。
开启回源 SNI(若未默认开启)。
设置默认回源 SNI 域名(通常填写源站域名,如
origin.example.com)。保存配置,等待 CDN 节点生效(通常 5-10 分钟)。
3. 规则条件参数设置
CDN 允许基于不同条件设置不同的回源 SNI,适用于多源站或动态回源场景。
(1)匹配规则类型
完全匹配(Exact):精确匹配 URL 或 Host(如
api.example.com)。通配符匹配(Wildcard):如
*.example.com匹配所有子域名。正则匹配(Regex):如
^/images/.*匹配/images/开头的路径。
(2)常见条件参数
| 参数 | 说明 | 示例 |
|---|---|---|
| Host | 请求头中的 Host 值 | cdn.example.com |
| URL Path | 请求路径 | /static/* |
| Query String | URL 查询参数 | ?version=2 |
| User-Agent | 客户端浏览器标识 | Mozilla/5.0 |
| Client IP | 访问者 IP 段 | 192.168.1.0/24 |
(3)优先级规则
规则从上到下匹配,第一个匹配的规则生效。
默认规则(未匹配任何条件时使用)。
4. 最佳实践
测试回源 SNI:使用
curl -v -H "Host: cdn.example.com" https://origin.example.com验证 SNI 是否生效。多源站 SNI 配置:不同路径或域名回源到不同 SNI(如
/api/*回源到api-origin.example.com)。证书匹配:确保源站证书包含 SNI 域名,否则 HTTPS 回源失败。
5. 常见问题
SNI 不生效? 检查 CDN 配置、源站证书、TLS 版本(推荐 TLS 1.2+)。
回源 502/SSL 错误? 确认 SNI 域名与源站证书一致。
完成配置后,CDN 将按照规则正确回源,提升 HTTPS 访问安全性和兼容性。
