我们在 NetScaler ADC 中的虚拟服务器前面有一个内容交换机,它充当负载平衡器。它与具有 HTTP 监视器的服务组绑定。我们无法让此监视器工作。
监视器调用 HTTPS 端点。端点期望 NetScaler 的客户端 Hello TLS 握手中包含 SNI 扩展(服务器名称指示)。根据我们的流量转储,NetScaler 不会添加此扩展。这会导致端点失败(它在其 TLS 回复数据包中发送错误代码,然后 NetScaler 发送客户端重置数据包。)
为什么我们的 NetScaler 不发送 SNI 扩展?
附有服务组配置的屏幕截图:
监视器配置:
服务组和监视器中使用的 SSL 配置文件:
我们捕获的输出 - NetScaler 发送的数据包 - 没有发送 SNI 扩展:
答案1
尝试使用 SNI 中期望的主机名填写 SSL 配置文件中的通用名称。