Certificado de SNI (para oyentes de HTTPS)
Escenarios
Si tiene una aplicación a la que se puede acceder a través de varios nombres de dominio y cada nombre de dominio utiliza un certificado diferente, puede habilitar la indicación de nombre de servidor (SNI) cuando agrega un oyente HTTPS.
SNI, una extensión de Transport Layer Security (TLS), permite a un servidor presentar varios certificados en la misma dirección IP y número de puerto. SNI permite al cliente indicar el nombre de dominio del sitio web mientras envía una solicitud de protocolo de enlace SSL. Una vez que recibe la solicitud, el balanceador de carga consulta el certificado correcto basado en el nombre de host o el nombre de dominio y devuelve el certificado al cliente. Si no se encuentra ningún certificado, el balanceador de carga devolverá el certificado predeterminado.
Puede habilitar el SNI solo cuando agrega oyentes de HTTPS. Los balanceadores de carga pueden tener varios certificados SNI enlazados.
Restricciones
Los oyentes de un balanceador de carga dedicado pueden tener hasta 50 certificados SNI. Puede enviar un ticket de servicio para aumentar la cuota.
Requisitos previos
- Ha agregado un oyente HTTPS al balanceador de carga realizando las operaciones en Adición de un oyente de HTTPS.
- Ha creado un certificado SNI realizando las operaciones de Adición de un certificado.
- Debe especificar un nombre de dominio para un certificado SNI. El nombre de dominio debe ser el mismo que el del certificado.
- Un nombre de dominio puede ser utilizado tanto por un certificado ECC como por un certificado RSA. Si hay dos certificados SNI que utilizan el mismo nombre de dominio, el certificado ECC se muestra preferentemente.
- Los nombres de dominio de un certificado SNI coinciden de la siguiente manera:
Si el nombre de dominio del certificado es *.test.com, a.test.com y b.test.com son compatibles, y a.b.test.com y c.d.test.com no son compatibles.
El nombre de dominio con el sufijo más largo coincide: Si un certificado contiene *.b.test.com y *.test.com, a.b.test.com coincide preferentemente con *.b.test.com.
- Si un certificado ha caducado, debe reemplazarlo o eliminarlo manualmente siguiendo las instrucciones en Vinculación de un oyente y sustitución del certificado enlazado a un oyente.
Procedimiento
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el ratón sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Elastic Load Balance.
- Busque el balanceador de carga y haga clic en su nombre.
- Haga clic en Listeners, busque el oyente y haga clic en su nombre.
- En la página de ficha Summary, haga clic en Edit en la parte superior derecha.
- Habilite SNI y seleccione un certificado de SNI.
- Haga clic en OK.