一、什么是内置证书的应用（PC端）？

我们知道再SSL/TLS加密时代，所有应用经历过从明文传输到加密传输。SSL“安全套接层”协议，TLS“安全传输层”协议，都属于是加密协议，在其网络数据传输中起到保护隐私和数据的完整性。

以chrome浏览器访问为例：

1、用户通过浏览器向网站发出安全的HTTP请求：

2、客户端和网站的服务器进行SSL握手，客户端收到来自服务器公钥的证书，握手成功，开始加密传输。

3、客户端浏览器调用系统中受信的证书颁发机构，查看证书是否受信。不受信报错。

那如果不是浏览器，而是客户端应用呢？

大多数客户端应用和浏览器行为类似都会调用系统CA，但是又个别应用不使用系统CA而是自带证书，这就要求我们要把服务端的证书安装到客户端应用中，显然这是不现实的。

以腾讯会议为例，该软件使用微软CA：

二、F5 SSLO解决方案

这时候大家可能会有疑问，这类应用是加密的，证书也不从系统调用，怎么解决访问报错呢？

我们这里提供两种解决办法，这两种解决办法都是通过唯一的标识bypass：

1、 四层解决方案，bypass该应用的IP地址。

2、 6层解决方案，通过TLS/SSL报文的SNI头，bypass该应用的URL。

第一种办法：

选择server IP进行BYPASS操作。

如上配置的作用是对目的地址是1.1.1.1同时端口是80的进行过滤。

第二种办法：

SNI：SNI(Server Name Indication)指定了 TLS 握手时要连接的主机名。

抓包在OSI模型的第6层显示，如下：

配置：

以腾讯会议为例：

抓包，查看腾讯会议使用的URL，在F5如下位置配置。

在F5 SSLO配置中添加

好了，到此，以上两种办法就解决了应用内置证书的问题。

最后给大家留个疑问，怎么解决没有SNI标识，同时使用F5 GSLB（A记录有很多，不收敛）发布的应用呢？