我們在 NetScaler ADC 中的虛擬伺服器前面有一個內容交換機,它充當負載平衡器。它與具有 HTTP 監視器的服務組綁定。我們無法讓該監視器運作。
監視器呼叫 HTTPS 端點。端點期望來自 NetScaler 的客戶端 Hello TLS 握手中的 SNI 擴充(伺服器名稱指示)。根據我們的流量轉儲,NetScaler 沒有添加此內容。這會導致端點失敗(它在 TLS 回覆封包中發送錯誤代碼,然後 NetScaler 發送客戶端重置封包。)
為什麼我們的 NetScaler 不發送 SNI 擴充?
附上服務組配置的螢幕截圖:
顯示器配置:
服務群組和監視器中使用的 SSL 設定檔:
以及我們捕獲的輸出 - NetScaler 發送的資料包 - 未發送 SNI 擴充:
答案1
嘗試使用 SNI 中所需的主機名稱填寫 ssl 設定檔中的通用名稱。