如何创建 SSL 通信使用 SNI 字段的自定义应用程序

这篇文章讨论了泛 OS 可以如何利用 SNI （服务器名称征兆） 字段来创建一个自定义的应用程序。

什么是 SNI (服务器名称指示)？

SNI 是 SSL/TLS 协议的扩展, 指示客户端试图连接的主机名。
SNI 在 TLS 握手中插入请求的主机名 (网站地址) (浏览器将其作为 "客户端 Hello" 的一部分发送), 使服务器能够确定向浏览器显示的最合适的 SSL 证书.

何时使用 SNI 来创建自定义应用程序

在 SNI 领域一致的情况下，它能可靠地用于标识应用程序。

一个自定义的应用程序可以定义和用于控制而不需要 SSL 解密 SSL 通信。

创建一个自定义的应用程序的示例

下面的示例演示如何为 YouTube 创建自定义应用程序 (SNI 字段被视为www.youtube.com ) (仅作为示例).

分析交通的一致性 SNI 场的客户您好：

导航到对象 > 应用 > 添加。

1。定义应用程序的常规属性：

2。定义的端口和协议为 TCP 和 443 分别，因为 SSL 用于通信的 TCP 协议和端口 443。

根据需要定义其他超时设置：

3。应用程序定义的最后一个最重要的部分是选择上下文作为 "ssl-请求-客户端-hello", 并定义在
客户端 hello SNI 字段中看到的所需模式:

注意：

• 我们建议在创建应用程序签名，以确保可靠性的自定义应用程序之前彻底分析交通。
• 它是可能为相同的 web 服务，在不同的场合使用不同 SNIs，因此所有可能性必须都考虑这一点。
• SNI 字段使用客户端试图连接到服务器的主机名，因此从客户端请求中的任何变化可能停止匹配自定义应用程序。