it-swarm.com.de

Sichern Sie eine URL mit einem cname-Datensatz

Ich habe eine Site mit Subdomains für jeden Benutzer und einem Wildcard-SSL-Zertifikat

https://user1.mysite.com

https://user2.mysite.com

Die Frage ist, ob jemand einen cname-Datensatz wie user1.theirsite.com -> user1.mysite.com festlegen und noch https verwenden kann.

Funktioniert es, wenn sie ein SSL-Zertifikat auf ihrem Server installieren, um die Verbindung zu sichern?

Vielen Dank

12
bones

Dies funktioniert am besten, wenn sie mit Ihnen vereinbaren, dass Ihr SSL-Zertifikat ihren "Alias" als Subject Alternate Name -Erweiterung in Ihr X.509-Zertifikat enthält.

Dies ist der Ansatz, den einige CDNs verwenden, wenn sie https-Sites für Clients hosten. Sie speichern alle bekannten Site-Namen, die auf einem Server gehostet werden, in einem großen SSL-Zertifikat. Anschließend verwenden die Clients CNAMEs, um ihre Domain auf die richtige CDN zu verweisen Server.

13
Alnitak

Die Überprüfung des Hostnamens und des Zertifikats (und tatsächlich die Überprüfung, ob SSL überhaupt verwendet wird) liegt ausschließlich in der Verantwortung des Kunden.

Die Überprüfung des Hostnamens erfolgt durch den Client, wie in RFC 2818 angegeben, basierend auf dem Hostnamen, den er in seiner URL anfordert. Ob die DNS-Auflösung des Hostnamens auf einem CNAME-Eintrag oder etwas anderem basiert, ist unerheblich.

Wenn Benutzer https://user1.theirsite.com/ in ihren Browser eingeben, sollte das Zertifikat auf der Zielsite für user1.theirsite.com gültig sein.

Wenn sie einen eigenen Server für user1.theirsite.com haben, der sich von user1.mysite.com unterscheidet, ist ein DNS-CNAME-Eintrag nicht sinnvoll. Angenommen, die beiden Hosts unterscheiden sich tatsächlich, könnten sie über ein eigenes gültiges Zertifikat für user1.theirsite.com verfügen und eine Umleitung zu https://user1.theirsite.com/ durchführen. Die Umleitung wäre auch in der Adressleiste sichtbar.

Wenn Sie wirklich einen CNAME von user1.theirsite.com nach user1.mysite.com haben möchten, können diese Ihnen möglicherweise ihr Zertifikat und ihren privaten Schlüssel geben, damit Sie es auch auf Ihrer Site hosten können, indem Sie die Angabe des Servernamens verwenden (unter der Annahme des gleichen Ports und natürlich der gleichen IP-Adresse) da du einen CNAME verwendest). Dies würde für Clients funktionieren, die SNI unterstützen. Es ist jedoch mit einem gewissen Risiko verbunden, Ihnen ihre privaten Schlüssel zu geben (was im Allgemeinen nicht empfohlen wird).

12
Bruno

Folgendes ist eingerichtet und funktioniert:

DNS-Eintrag für a.corp.com -> CNAME b.corp2.com -> A 1.2.3.4

Der Haproxy bei 1.2.3.4 stellt das Zertifikat für a.corp.com zur Verfügung und die Site wird problemlos von einem Webserver-Backend geladen.

Also, auf deinem Server brauchst du user1.theirsite.com cert und es wird funktionieren.

0
ffghfgh