我有一个关于谷歌云平台负载均衡器的问题。
我可以在前端设置中单独注册SSL证书。现在我想设置第二个SSL,以便同一网站可以从两个域使用HTTPS登录。
注册后大约15分钟,第二个SSL证书也是有效的,即使您使用新域名访问,也可以访问HTTPS。
但是,过了一段时间,第二个SSL设置会自动从GCP负载平衡器设置中消失,即使您访问HTTPS证书的域,屏幕上也会显示错误"NET::ERR_CERT_COMMON_NAME_INVALID"。
如何设置第二个SSL证书才能工作?
HTTPS负载均衡器使用服务器名称指示(SNI(根据TLS握手中的域名来确定向客户端提供哪个证书。负载平衡器选择一个证书,该证书的通用名称(CN(或使用者替代名称(SAN(与客户端指定的SNI主机名相匹配。
如果客户端不使用SNI,或者客户端使用的域名与其中一个证书中的通用名称(CN(不匹配,则负载平衡器使用前端配置中列出的第一个证书(主证书(协商SSL,然后发生回退。
如果客户端在TLS(SSL(握手期间使用SNI提供主机名,则负载平衡器将使用与该主机名关联的证书。
下面是一个示例,说明多个SSL证书如何使用HTTPS负载平衡。
在这种情况下,只需签署一个与两个域匹配的、具有相同IP的证书。