如何让 NetScaler 中的安全 HTTP 监视器在其请求中发送 SNI?

如何让 NetScaler 中的安全 HTTP 监视器在其请求中发送 SNI?

我们在 NetScaler ADC 中的虚拟服务器前面有一个内容交换机,它充当负载平衡器。它与具有 HTTP 监视器的服务组绑定。我们无法让此监视器工作。

监视器调用 HTTPS 端点。端点期望 NetScaler 的客户端 Hello TLS 握手中包含 SNI 扩展(服务器名称指示)。根据我们的流量转储,NetScaler 不会添加此扩展。这会导致端点失败(它在其 TLS 回复数据包中发送错误代码,然后 NetScaler 发送客户端重置数据包。)

为什么我们的 NetScaler 不发送 SNI 扩展?

附有服务组配置的屏幕截图:

服务组

监视器配置:

监控配置

监控配置高级参数

服务组和监视器中使用的 SSL 配置文件:

SSL 配置文件

我们捕获的输出 - NetScaler 发送的数据包 - 没有发送 SNI 扩展:

在此处输入图片描述

答案1

尝试使用 SNI 中期望的主机名填写 SSL 配置文件中的通用名称。

相关内容