证书组:可以使用证书组将多个服务器证书与虚拟服务相关联。这提供了对服务器名称指示(Server Namelndication,SNI)的支持,允许在相同的IP和端口后面托管多个主机名。使用SNI,浏览器发送请求的主机名,使服务器能够在进行SSL握手和发出实际的HTTP请求之前识别要使用的证书。
配置案例
基础配置
/c/slb/real 192.168.2.11/ena/ipver v4/rip 192.168.2.11
/c/slb/group 192.168.2.11/ipver v4/add 192.168.2.11
/c/slb/virt 1ena/ipver v4/vip 192.168.2.100
/c/slb/virt 1/service 443 https/group 192.168.2.11/rport 80/dbind forceproxy
/c/slb/virt 1/service 443 https/pip/mode address/addr v4 192.168.2.201 255.255.255.255 persist disable
证书组配置
/c/slb/ssl/certs/group test/type certificate/default 123/add "356"/add "123"
/c/slb/virt 1/service 443 https/ssl/srvrcert group test/sslpol 1
web界面配置如下:
1、点击Configuration>Application Delivery>SSL>Certificate Repository>Certificate Groups
2、点击+号创建证书组
1、证书组标识符,创建证书组ID。
2、描述
3、证书组类型(中间CA、受信任CA、证书)
类型为中间CA时:指定证书链模式:按key、按名称。
类型为证书时:指定当客户端在SSL Hello中不包含SNI扩展时提供给客户端的证书。
4、指定证书链模式:按key、按名称。
5、选择添加的证书。
6、提交
1、点击Configuration>Application Delivery>Virtual Services
2、选择虚拟服务器下的虚拟服务
1、选择SSL
2、服务器证书类型:
证书:关联客户端SSL处理单个服务器证书。
组:关联一组服务器证书用于客户端SSL处理。这允许在一个虚拟服务上支持多个域,同时使用服务器名称指示(Server Name Indication, SNI)特性(也称为虚拟主机)为每个域提供不同的证书。
3、关联服务器证书/服务器证书组。
4、关联SSL策略
5、提交
结果测试:
访问域名test.com
会话表如下:
访问域名text.net
会话表如下:
