SSL策略的匹配方法及装置与流程

本技术涉及计算机信息处理领域，具体而言，涉及一种ssl策略的匹配方法及装置。

背景技术：

1、负载均衡是一种将工作负载(例如网络流量、数据请求、计算任务等)分配到多个计算资源(例如服务器、虚拟机、容器等)的技术，以优化性能、提高可靠性和增加可扩展性。负载均衡设备背后可能存在一个服务器群，每个服务器上可以配置多个虚拟主机。当使用域名和服务器进行加密通信时，负载均衡设备需要根据客户端请求中携带的域名进行分流。对于配置了多个虚拟主机的服务器，在加密通信过程中，可能需要将不同域名的访问分流到指定服务器。

2、在现有技术中，负载均衡设备在配置ssl加速策略时，会将sni域名作为可配置项，并使用配置的域名来匹配客户端访问中携带的sni，不同的域名使用不同的ssl加速策略进行加密通信。

3、一条虚拟服务配置可以引用多条ssl加速策略，每条ssl加速策略可以配置一个sni域名。当客户端发起的ssl请求携带server name字段，并命中虚拟服务时，会根据虚拟服务引用的ssl策略配置的sni或证书cn字段选择ssl策略。如果虚拟服务引用的ssl加速策略中，没有sni域名能够与server name匹配，则默认选择最后一条ssl策略进行后续的加密通信。

4、现有技术的缺点在于，当一个服务器上包含多个虚拟主机并提供多个域名时，要保证每个域名访问都能正常通信，并且匹配的ssl策略不是默认策略，那么该虚拟服务就需要引用多条ssl策略，每条ssl策略配置一个sni域名。当服务器包含的虚拟主机数量很多时，不仅需要配置大量ssl加速策略，而且虚拟服务能引用的ssl策略数量有限，很难满足具体的应用需求。

5、因此，需要一种新的ssl策略的匹配方法及装置。

6、在所述背景技术部分公开的上述信息仅用于加强对本技术的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、有鉴于此，本技术提供一种ssl策略的匹配方法及装置，能够显著简化配置过程，提高系统的可扩展性和管理效率，能够高效简便的进行ssl策略匹配。

2、本技术的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本技术的实践而习得。

3、根据本技术的一方面，提出一种ssl策略的匹配方法，可用于负载均衡设备，该方法包括：负载均衡设备获取来自客户端的ssl/tls访问请求；基于所述ssl/tls访问请求获取sni域名；在所述sni域名命中的虚拟服务中的ssl策略数大于1时，确定ssl策略是否配置sni域名；在ssl策略配置了sni域名时，基于所述sni域名、或证书、或目标域名确定目标ssl策略；基于所述目标ssl策略确定目标证书；基于所述目标证书为所述客户端建立通信连接。

4、在本技术的一种示例性实施例中，还包括：在向证书颁发机构申请证书时，将多个域名绑定到证书的san扩展字段中；在配置ssl策略时，引用包含多个域名的证书。

5、在本技术的一种示例性实施例中，基于所述sni域名、或证书cn、或目标域名确定目标ssl策略，包括：由所述ssl/tls访问请求的san扩展字段中获取目标域名；按照预设的优先顺序根据所述sni域名、或证书、或目标域名确定目标ssl策略。

6、在本技术的一种示例性实施例中，按照预设的优先顺序根据所述sni域名、或证书、或目标域名确定目标ssl策略，包括：确定ssl策略是否配置sni域名；在配置sni域名时，将所述sni域名和客户端访问的server name进行匹配，根据多策略选择规则确定所述目标ssl策略；在未配置sni域名时，通过证书、或目标域名确定所述目标ssl策略。

7、在本技术的一种示例性实施例中，通过证书、或目标域名确定目标ssl策略，包括：获取所述证书的cn字段；将所述cn字段和客户端访问的server name匹配；在匹配成功时，根据多策略选择规则确定所述目标ssl策略；在匹配未成功时，通过目标域名确定所述目标ssl策略。

8、在本技术的一种示例性实施例中，通过目标域名确定所述目标ssl策略，包括：将所述目标域名和客户端访问的server name匹配；在匹配成功时，根据多策略选择规则确定所述目标ssl策略；在匹配未成功时，进行下一条策略匹配以确定所述目标ssl策略。

9、根据本技术的一方面，提出一种ssl策略的匹配方法，可用于客户端，该方法包括：客户端基于目标域名生成ssl/tls访问请求；向负载均衡设备发送所述ssl/tls访问请求；基于所述ssl/tls访问请求获取来自负载均衡设备的目标证书；基于所述目标证书建立通信连接。

10、在本技术的一种示例性实施例中，基于所述目标域名生成ssl/tls访问请求，包括：将所述目标域名放入所述ssl/tls访问请求的san扩展字段中。

11、根据本技术的一方面，提出一种ssl策略的匹配装置，可用于负载均衡设备，该装置包括：请求模块，用于负载均衡设备获取来自客户端的ssl/tls访问请求；解析模块，用于基于所述ssl/tls访问请求获取sni域名；判断模块，用于在所述sni域名命中的虚拟服务中的ssl策略数大于1时，确定ssl策略是否配置sni域名；策略模块，用于在ssl策略配置了sni域名时，基于所述sni域名、或证书、或目标域名确定目标ssl策略；证书模块，用于基于所述目标ssl策略确定目标证书；连接模块，用于基于所述目标证书为所述客户端建立通信连接。

12、根据本技术的一方面，提出一种ssl策略的匹配装置，可用于客户端该装置包括：域名模块，用于客户端基于目标域名生成ssl/tls访问请求；访问模块，用于向负载均衡设备发送所述ssl/tls访问请求；响应模块，用于基于所述ssl/tls访问请求获取来自负载均衡设备的目标证书；通信模块，用于基于所述目标证书建立通信连接。

13、根据本技术的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

14、根据本技术的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

15、根据本技术的ssl策略的匹配方法及装置，通过负载均衡设备获取来自客户端的ssl/tls访问请求；基于所述ssl/tls访问请求获取sni域名；在所述sni域名命中的虚拟服务中的ssl策略数大于1时，确定ssl策略是否配置sni域名；在ssl策略配置了sni域名时，基于所述sni域名、或证书、或目标域名确定目标ssl策略；基于所述目标ssl策略确定目标证书；基于所述目标证书为所述客户端建立通信连接的方式，能够显著简化配置过程，提高系统的可扩展性和管理效率，能够高效简便的进行ssl策略匹配。

16、应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本技术。