この資料では、パン OS がカスタム アプリケーションを作成する SNI (サーバー名を示します) フィールドを活用できる方法について説明します。
SNI (サーバ名表示) とは何ですか?
SNI は、クライアントが接続を試みているホスト名を示す SSL/TLS プロトコルの拡張機能です。
SNI は、要求されたホスト名 (web サイトアドレス) を TLS ハンドシェイク内に挿入し (ブラウザは「クライアント Hello」の一部として送信します)、サーバーがブラウザに提示する最も適切な SSL 証明書を決定できるようにします。
SNI を使用してカスタム アプリケーションを作成するとき
SNI フィールドが一貫性のある場合、それ確実に使えるアプリケーションを識別します。
カスタム アプリケーションを定義し、SSL 復号化を必要とせず SSL トラフィックを制御するために使用することができます。
カスタム アプリケーションの作成例
次の例は、SNI フィールドが www.youtube.com として表示される YouTube 用のカスタムアプリケーションを作成する方法を示しています (例としてのみ)。
クライアントこんにちはの SNI フィールドの一貫性のトラフィックを分析します。
オブジェクトに移動 > アプリケーション > を追加。
1。アプリケーションの一般的なプロパティを定義します。
2。ポートとプロトコル TCP 443 とそれぞれ定義、SSL 通信に TCP プロトコルとポート 443 を使用するので。
必要に応じて、その他のタイムアウトの設定を定義します。
3。アプリケーション定義の最後と最も重要な部分は、コンテキストを「ssl-要求-クライアント-hello」として選択し、
クライアント hello SNI フィールドに表示される必要なパターンを定義することです。
注:
- 徹底的にカスタム アプリケーションの信頼性を確保するためのアプリケーションの署名を作成する前に、トラフィックの分析をお勧めします。
- さまざまな場面で異なる SNIs を使用する同じ web サービス、それ故にすべての可能性を考慮するを取る必要があります。
- SNI フィールドは、クライアントがサーバーに接続しようとするホスト名を使用して、したがって、クライアントからの要求で変更がカスタム アプリケーションに合わせて停止可能性があります。