那些遇到过的问题

DNS 重定向是否需要单独的 SSL 证书?

cod*_*tix 24 domain-name-system ssl cname-record ssl-certificate dns-zone

我正在实施一个多租户应用程序,我的应用程序在其中托管和提供租户产品的技术文档。

现在,我正在考虑的方法是-我是主持人的文件docs.<tenant>.mycompany.com,并要求我的房客设置一个CNAME DNS记录指向docs.tenantcompany.comdocs.<tenant>.mycompany.com

我希望该站点使用我的租户的证书启用 SSL。我想了解我的租户公司是否有通配符 SSL 证书,它是否适用于此设置,还是必须购买新的 SSL 证书docs.tenantcompany.com

Jas*_*tin 46

证书名称必须与用户在浏览器中输入的内容相匹配,而不是“最终”DNS 记录。如果用户输入,docs.tenantcompany.com则您的 SSL 证书必须涵盖该内容。

如果docs.tenantcompany.com是一个CNAME到foo.example.com,该证书也没有需要覆盖foo.example.com,只docs.tenantcompany.com

Rya*_*ger 28

杰森的回答是正确的。但只是在这里澄清一下术语,“DNS 重定向”有点用词不当。DNS 具有 CNAME 记录(又名别名),这是一个指向另一个名称的名称。但这不是重定向。从名称到名称再到 IP 的转换都在后台进行,您的浏览器只关心初始名称。

唯一进行重定向的是 Web 服务器,其中服务器明确地告诉您的浏览器转到其他地方。如果你的Web服务器真正做一个重定向到其他人的名字,你真正需要为这两个名字的证书,因为你的浏览器将最终分别连接到他们两个。

  • 谢谢你纠正我。你是对的,它不是重定向,而是 CNAME 别名。 (2认同)

Cos*_*age 10

我想了解我的租户公司是否有通配符 SSL 证书,它是否适用于此设置或必须购买新的 SSL 证书docs.tenantcompany.com

简短回答:否。如果您的租户公司在 name 中有通配符*.tenantcompany.com,则足以在您的服务器上安装以涵盖通过该名称进行的访问。你是否愿意这样做是另一回事。

如果始终通过名称进行访问,则名称中的证书docs.<tenant>.mycompany.com(例如直接证书或通配符*.<tenant>.mycompany.com)将毫无用处docs.tenantcompany.com

更长的答案

假设您https://docs.tenantcompany.com在合理的浏览器中浏览。浏览器通过 HTTP 协议运行 TLS。它特别关心两件事;那:

  • 浏览器和操作系统的 DNS 子系统返回合适主机的 IP 地址,该主机在本地网络或互联网上其他地方的合适端口上运行 Web 服务器。对于 HTTPS(安全)流量,443除非在 URL 中以其他方式覆盖,否则为默认端口。

  • 当浏览器和远程服务器之间发生TLS 握手时,服务器会提供一个受信任的证书,允许它在请求的地址 ( docs.tenantcompany.com)上提供 TLS 服务。

域名系统

浏览器将 DNS 视为一个黑匣子。它调用合适的 DNS 库,请求将友好的完全限定域名 (FQDN) 映射到合适的 IP 地址(v4 或 v6)。它并不关心它如何获得该 IP 地址。如果CNAME原始记录和一个AAAAA记录之间的 DNS 中有 20个别名,则 DNS 解析器将跟踪它们,直到获得 IP 地址。

TLS

当浏览器执行TLS 握手时,它需要验证与之通信的服务器是否被授权在请求的 FQDN 上提供安全的网站服务:docs.tenantcompany.com

请记住:浏览器并不关心docs.<tenant>.mycompany.com- DNS 解析器已经通过CNAME记录抽象出所有间接知识。

我们授权服务器提供安全会话docs.tenantcompany.com的方法是通过 SSL 证书,该证书由已在浏览器的根证书存储中建立了事先信任的机构签署。这并不总是服务器到客户端的最强大的身份验证形式 - 在集中式 CA 模型中可能会出现很多问题 - 但它是我们目前最好的。

这里还有两个警告:

密钥共享

许多商业 SSL 证书供应商只会签署单个签名请求,这有效地将通配符证书绑定到单个私钥。租户公司可能不愿意在其组织外部共享此信息,因为任何拥有私钥的人显然都会破坏与租户公司其他安全系统的通信。

一些供应商会在同一个证书下签署多个证书签名请求,这允许在多个服务器和系统上安装单个通配符证书,而无需在它们之间共享私钥。

伪装

如果租户公司为您提供了他们的通配符证书的副本(通过共享私钥或签署您自己的 CSR),您可以伪装成<anydomain>.tenantcompany.com,从而破坏重要的保护,确保tenantcompany.comDNS 命名空间中标识的服务器的完整性。从法律/责任的角度来看,这对您和租户公司来说都是不利的。

归档时间:

查看次数:

31985 次

最近记录:

9 年,10 月 前
相关归档
使用上游 SSL 将 Nginx 配置为反向代理 49
为什么应该有一个辅助 DNS 服务器? 29
Puppet 代理证书验证失败 11
来自 Apache 的 SSL 连接错误 8
Nginx : 在 HTTP 上剥离标头,在 HTTPS 上添加标头 7
删除 IIS10 自签名证书“​​WMSCV-SHA2-webserver” 4
查找哪个程序正在替换我的 resolv.conf 文件 3
云中普通电子商务网站的 PCI 合规性 2
GSuite:“不应该在裸域名上设置邮件交换器” 2
DIG:始终获得状态:FORMERR 1
难疑归档
如何选择要使用的 Apache MPM? 289
修改时是否必须重新加载 systemd 单元文件? 210
清除所有 iptables 规则的最佳方法 122
如何列出 Apache 启用的模块? 118
如何检查端口是否在 Windows 机器上被阻止? 117
从 USB 拇指驱动器启动和安装 Windows 96
IIS 7.5 (Windows 7) - HTTP 错误 401.3 - 未经授权 84
如何更改已创建的 MySQL 用户的权限? 71
在用于周期性任务时保持 docker 容器启动的正确方法 62
好 sudo 还是 sudo 好? 54