DNS yönlendirmesi için ayrı bir SSL sertifikasına ihtiyacım var mı?

17

Uygulamamın bir kiracı ürünü için teknik dokümantasyon barındırdığı ve sunduğu çok kiracılı bir uygulama uyguluyorum.

Şimdi, düşündüğünü yaklaşımdı - Ben adresinden belgeleri barındırmak docs.<tenant>.mycompany.comve noktaya kurulum için bir CNAME DNS kaydı benim kiracı sormak docs.tenantcompany.comiçin docs.<tenant>.mycompany.com.

Sitenin, kiracımın sertifikası ile SSL etkin olmasını istiyorum. Kiracı şirketimin joker karakterli SSL sertifikası olup olmadığını anlamak istedim, bu kurulumla çalışacak mı yoksa yeni bir SSL sertifikası satın alınacak docs.tenantcompany.commı?

domain-name-system  ssl  ssl-certificate  cname-record  dns-zone 
codematix
kaynak
Açıklığa kavuşturmak için * .mycompany.com için bir joker karakteriniz mi var?
zymhan
@WildVelociraptor evet Benim için joker karakterli SSL sertifikam var*.mycompany.com
codematix
@codematix Herhangi bir kuşkuya yer bırakmamak için bir joker karakter sertifikası *.example.com eşleşmeyecek docs.tenantname.example.com ! Joker karakter yalnızca bir 'alt alan adı' için iyidir; o maç olacak docs-tenantname.example.com örneğin. Amazon'un S3 buna iyi bir örnektir: *.s3.amazonaws.comSertifika, belirli bir noktaya sahip bir kovaya erişirken başarısız olur, örneğin www.example.com( böyle bir ana makine adı ile biter www.example.com.s3.amazonaws.com); bu kova adları S3 web barındırma için gereklidir.
Mart'ta Calrion
Kendi sunucunuzu işaret eden bir cname kullanımının, kiracı tarafından sağlanan sertifikaya gereksinimden kaçınabileceğiniz anlamına geldiğini unutmayın. Bazı sertifika sağlayıcıları ( letsencrypt.org dahil ) https yoluyla alan adının doğrulanmasını destekler. En iyi güvenlik uygulamaları açısından bu yaklaşım çok daha üstündür ( serverfault.com/a/765957/4480 adresinde zaten tartışılmıştır ). Kiracınızın kendi sertifikasını vermesine izin vermek iyidir (kiracı üzerinde kendiniz oluşturmak daha kolay olsa da), ancak bir joker kart sertifikası SAĞLAMAMALIDIR.
Brian

Yanıtlar:

39

Sertifika adı, kullanıcının 'nihai' DNS kaydı ile değil, tarayıcıya girdiği bilgilerle eşleşmelidir. Kullanıcı girerse docs.tenantcompany.com, SSL sertifikanız bunu kapsamalıdır.

Eğer docs.tenantcompany.combir CNAME olduğunu foo.example.com, sertifika vermez değil kapağa gerek foo.example.comsadece docs.tenantcompany.com.

Jason Martin
kaynak
25

Jason'ın cevabı doğrudur. Ancak burada terimleri biraz açıklığa kavuşturmak için "DNS yönlendirmesi" biraz yanlış adlandırmadır. DNS, başka bir adı işaret eden bir ad olan CNAME kayıtlarına (diğer adlar da denir) sahiptir. Ama bu bir yönlendirme değil. Addan ada IP'ye çeviri arka planda gerçekleşir ve tarayıcınız yalnızca ilk adı önemser.

Yönlendirmeleri yapan tek şey, sunucunun tarayıcınıza başka bir yere gitmesini söylediği web sunucularıdır. Web sunucusu ise edilmiştir aslında diğer adıyla bir yönlendirme yapıyor, sen olur tarayıcınız sonuçta ayrı ayrı her ikisi bağlanarak olacağını çünkü aslında her iki adları için certs gerekir.

Ryan Bolger
kaynak
2
Beni doğruladığınız için teşekkür ederim. Haklısın, yönlendirme değil CNAME takma adı.
codematix
Müşterimin Server Aalan adı var example.com. Onun için bir web sitesi yaptım ve siteyi korudum Server B. İstemcim , sunucumun IP adresini A Recordgösteren DNS'sini yapılandırdı . Şimdi müşterim için SSL alıyor . Sorum şu: Müvekkilimin bana içeri girmek için SSL sertifikası vermesi gerekiyor mu? Yoksa sadece koymak zorunda mý? Ya da başka ne yapmalıyız? İkimiz de bu konuda kafamız karıştı, teşekkürler! dog.example.comServer Bdog.example.comServer BServer A
user2875289
1
A kaydı dog.example.comdoğrudan sunucunuzun IP'sini gösteriyorsa, evet. Sunucunuz bu ad için sertifika ve özel anahtar içermelidir. Örneğinizdeki Sunucu A önemsizdir.
Ryan Bolger
@RyanBolger Evet, aynen söylediğin gibi. Müvekkilim sertifika için başvuruda bulundu dog.example.comve bana sertifika ve özel anahtar gönderdi. Bunları içeri koydum Server Bve kullanmak için Nginx'i yapılandırdım. Ve şimdi her şey yolunda gidiyor. Teşekkürler!
user2875289
Sadece bir teknik nokta üzerine bir not; şimdi "ALIAS" kayıtları olduğundan, CNAME ya da takma adlar olduğunu söyleyemem;]
Garet Claborn
9

Kiracı şirketimin joker karakterli SSL sertifikası olup olmadığını anlamak istedim, bu kurulumla çalışacak mı yoksa yeni bir SSL sertifikası satın alınacak docs.tenantcompany.commı?

Kısa cevap: Hayır. Kiracı şirketinizin adında bir joker karakter varsa, bu adla *.tenantcompany.comerişimi kapsamak için sunucunuza yüklemeniz yeterlidir. Bunu yapmak isteyip istemediğiniz başka bir hikaye.

Her zaman ad yoluyla erişim sağlanırsa addaki docs.<tenant>.mycompany.combir sertifika (örneğin doğrudan sertifika veya joker karakter *.<tenant>.mycompany.com) işe yaramaz docs.tenantcompany.com.

Daha uzun cevap

https://docs.tenantcompany.comMakul bir tarayıcıda göz attığınızı varsayalım . Tarayıcı, HTTP protokolü üzerinden TLS çalıştırır. Özellikle iki şeye önem verir; o:

  • tarayıcının ve işletim sisteminin DNS alt sistemi, yerel ağda veya internette başka bir yerde uygun bir bağlantı noktasında bir web sunucusu çalıştıran uygun bir ana bilgisayarın IP adresini döndürür. HTTPS (güvenli) trafik için, 443URL'de aksi belirtilmedikçe varsayılan bağlantı noktasıdır .

  • Ne zaman TLS anlaşmasının tarayıcı ve uzak sunucu, sunucu hediyelerin o (istenen adresteki bir TLS hizmeti sunmaktır izin veren bir güvenilen sertifika arasında gerçekleşir docs.tenantcompany.com).

DNS

Tarayıcı DNS'yi bir kara kutu olarak görür. Uygun bir tam nitelikli etki alanı adından (FQDN) uygun bir IP adresine (v4 veya v6) eşleme istemek için uygun bir DNS kitaplığına çağrı yapar. Bu IP adresini nasıl aldığını umursamıyor. CNAMEOrijinal kayıt ile bir Aveya AAAAkayıt arasında DNS'de 20 takma ad varsa , bir IP adresi elde edilene kadar DNS çözümleyicisi bunları takip eder.

TLS

Tarayıcı gerçekleştirdiğinde TLS el sıkışma , onu FQDN güvenli bir web sitesi hizmeti sağlamak için yetkilidir şekilde iletişim sunucunun istenen doğrulamak gerekir: docs.tenantcompany.com.

Unutmayın: tarayıcı umursamıyor docs.<tenant>.mycompany.com- DNS çözümleyicisi, dolaylı CNAMEkayıt hakkındaki tüm bilgileri bir kayıt aracılığıyla soyutladı .

Sunucuyu güvenli oturumlar için yetkilendirme docs.tenantcompany.comyöntemimiz, tarayıcının kök sertifika deposunda önceden güven tesis edilen bir yetkili tarafından imzalanan bir SSL sertifikasıdır. Bu her zaman sunucunun istemciye en güçlü kimlik doğrulaması biçimi değildir - merkezi CA modelinde çok şey yanlış olabilir - ama şu anda sahip olduğumuz en iyisi.

Burada iki uyarı daha var:

Anahtar paylaşımı

Birçok ticari SSL sertifikası satıcısı, joker sertifikayı tek bir özel anahtara etkili bir şekilde bağlayan yalnızca tek bir imzalama isteği imzalar. Kiracı şirket, kuruluşun dışında bunu paylaşmaktan rahatsız olabilir, çünkü özel anahtara sahip olan herkes, kiracı şirketin diğer güvenli sistemleriyle iletişimi tehlikeye atabilir.

Bazı satıcılar, aynı sertifika altında birden çok sertifika imzalama isteği imzalar ve bu da, aralarında özel anahtar paylaşmadan birden fazla sunucuya ve sisteme tek bir joker karakter sertifikasının yüklenmesine izin verir.

Maskelendirilmesi'nin

Kiracı şirket size joker karakter sertifikasının bir kopyasını sağlarsa (özel anahtarı paylaşarak veya kendi CSR'nizi imzalayarak), DNS ad alanında <anydomain>.tenantcompany.comtanımlanan sunucuların bütünlüğünü sağlayan önemli bir korumayı bozarak maskeli olabilirsiniz tenantcompany.com. Bu, hem sizin hem de kiracı şirketin yasal / sorumluluk açısından yerleştirilmesi için kötü bir pozisyon olabilir.

Kozmik Ossifrage
kaynak
Ayrıntılı cevap için çok teşekkürler. Bu çok yardımcı oldu ve yapmaya çalıştığım şeyin etik ve yasal yönlerini dikkate almama yardımcı oldu.
codematix
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.