Bağlama için nokta dışı joker karakter (* -foo.example.com)?

10

Bunu anlatmak için hiçbir yolu yoktur görünüyor bindo *-foo.example.comörn için çözmelidir. 10.1.2.3, *-bar.example.comçözerken 10.2.3.4. Herhangi bir çözüm var mı? Bazı isimler örneğin. harici bir programla çözme? Yoksa bindörneğin olarak değişmeli miyim ? PowerDNS ?

Başka bir SSL joker karakter sertifikası almaktan kaçınmaya çalışıyorum. (Joker karakter sertifikalarıyla, parçadaki *.example.comnoktalara izin vermek mümkün değildir *.)

Her iki tür adresi de anında oluşturabilmem gerektiğinden, bölge dosyasında tüm adları *-fooveya *-baradları belirtmek bir seçenek değildir.

domain-name-system  bind  wildcard-subdomain 
tuomassalo
kaynak
Alan adlarını anında bölgeye eklemenin bir yolu yok mu? Bağlanan kısmi joker karakterleri hiç görmedim. Yine de mümkün olmadığını kesin olarak söyleyemem.
David Houde
@DavidHoude: Eklemeden önceki herhangi bir sorgu geçersiz bir yanıtla ad sunucularını "kirletecek" için anında eklemenin bir seçenek olmadığından korkuyorum. Bu, oldukça nadir ancak çözülmesi biraz zor olan sorunlar yaratır. (Elbette zaman sorunu çözecektir.)
tuomassalo
1
Does $GENERATEyardımcı?
Celada
1
@DavidHoude - dinamik güncellemeyi kullanabilirsiniz, ancak orijinal posterin işaret ettiği gibi, kayıt eklenmeden önce bir önbellek çözücünün olumsuz bir yanıtı önbelleğe almış olabileceği duruma girersiniz. Negatif önbellekleme ttl'sini çok düşük bir değere düşürebileceğinizi azaltmaya çalışın, ancak her çözücü ttls'ı titizlikle onurlandırmaz ve bazıları pratik bir minimum uygular, böylece sonuçlar sinir bozucu bir şekilde değişken olabilir.
Michael McNally
@Celada: *bölüm herhangi bir [a-z]dize olabilir (elbette uzunluk kısıtlamaları ile). Yani, benim durumumda $GENERATEyardımcı olmuyor. Ancak bahşiş için teşekkürler - bu sayfayı bulan başka birisi için kullanışlı olabilir.
tuomassalo

Yanıtlar:

11

Çalışmamasının nedeni, RFC'lerde tanımlanmış davranış olmamasıdır. Kullandığınız yazılımın bir uzantısı olarak uygulanmalıdır. RFC4592 , bir joker karakter kaydının tanımını oldukça sağlam bir şekilde simüle eder:

2.1.1. Joker Alan Adı ve Yıldız Etiketi

Bir "joker alan adı", ilk (yani,
en soldaki veya en az önemli olan) etiketinin ikili biçimde olmasıyla tanımlanır :

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

Buradaki terim etiketine dikkat edin . Etiket, nokta ile ayrılmış varlıktır. Etikette yıldız işareti dışında bir şey varsa, bu bir joker karakter değildir.

Burada sıkışıp kaldın. DNS içinde çalışırken, kaçınmaya çalıştığınız noktaya ihtiyacınız var. Diğer her şey sunucu yazılımı ve uygulamaya özgü uzantılardır.

Andrew B
kaynak
Güzel cevap verdi.
Michael McNally
0

RFC 6125 , iç içe geçmiş alt etki alanları için genel bir sertifikaya sahip olmayı önler. RFC 4592 ve RFC 1034 , DNS girişi olarak * -xxx.etkialanı.com adresine sahip olmayı önler.

Yani sadece iki alternatifiniz var (otomatikleştirmeye çalışırken hoş değil):

  • Alt alan adı başına bir sertifika oluşturun (ücretsiz alternatifler vardır, ancak platformunuza bağlı olarak karmaşık olabilir).
  • Alt hizmet başına tam bir DNS girdisi oluşturun (alt alt etki alanları olmaz).
On
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.