Amankan url yang memiliki catatan cname

Saya memiliki situs yang memiliki subdomain untuk setiap pengguna dan Sertifikat SSL wildcard

https://user1.mysite.com

https://user2.mysite.com

Pertanyaannya adalah bisakah seseorang menyetel catatan cname seperti user1.theirsite.com -> user1.mysite.com dan masih menggunakan https?

Apakah ini akan berhasil jika mereka memasang Sertifikat SSL di server mereka untuk mengamankan koneksi?

Terima kasih


ssl dns cname
person bones    schedule 02.05.2012    source sumber
comment
Jika mereka menggunakan CNAME di server mereka untuk menunjuk ke server Anda, mereka tidak akan pernah dihubungi untuk mendapatkan sertifikat SSL sejak awal... bukan? Apa yang secara spesifik Anda khawatirkan?   -  person sarnold    schedule 02.05.2012
comment
Pengguna akan melihat bahwa Koneksinya Tidak Tepercaya.   -  person bones    schedule 02.05.2012

Jawaban (3)


arrow_upward
13
arrow_downward

Cara terbaik agar hal ini berhasil adalah jika mereka mengatur dengan Anda agar sertifikat SSL Anda menyertakan "alias" mereka sebagai ekstensi Subject Alternate Name di sertifikat X.509 Anda.

Ini adalah pendekatan yang digunakan oleh beberapa CDN ketika mereka menghosting https situs untuk klien - mereka memasukkan semua nama situs terkenal yang dihosting di satu server dalam satu sertifikat SSL besar, dan kemudian klien menggunakan CNAME untuk mengarahkan domain mereka ke CDN yang tepat server.

person Alnitak    schedule 04.05.2012
comment
Tentu saja bukan pilihan yang buruk. Tanggung jawabnya sama seperti diberikan sertifikat + kunci pribadi (dan dapat membuat prosedur penerapan lebih rumit), tetapi dapat berfungsi tanpa SNI. - person Bruno; 04.05.2012
comment
Ini bisa berhasil. Opsi yang saya lihat di godaddy memiliki SSL Banyak Domain atau SSL Subdomain Tidak Terbatas. Apakah ada yang kombo satu atau pakai dua? - person bones; 04.05.2012
comment
Tidak bisakah satu sertifikat SSL yang besar menjadi terlalu besar? Bagaimana jika ada 1000 klien? - person KajMagnus; 09.07.2012

arrow_upward
12
arrow_downward

Nama host dan verifikasi sertifikat (dan faktanya, memeriksa apakah SSL digunakan) sepenuhnya merupakan tanggung jawab klien.

Verifikasi nama host akan dilakukan oleh klien, sebagaimana ditentukan dalam RFC 2818, berdasarkan nama host yang mereka minta di URL mereka. Apakah resolusi DNS nama host didasarkan pada entri CNAME atau apa pun, itu tidak relevan.

Jika pengguna mengetik https://user1.theirsite.com/ di browser mereka, sertifikat di situs target harus valid untuk user1.theirsite.com.

Jika mereka memiliki server sendiri untuk user1.theirsite.com, berbeda dengan user1.mysite.com, entri DNS CNAME tidak akan masuk akal. Dengan asumsi kedua host berbeda secara efektif, mereka dapat memiliki sertifikat valid mereka sendiri untuk user1.theirsite.com dan melakukan pengalihan ke https://user1.theirsite.com/. Pengalihan juga akan terlihat di bilah alamat.

Jika Anda benar-benar ingin memiliki CNAME dari user1.theirsite.com hingga user1.mysite.com, mereka mungkin dapat memberikan sertifikat dan kunci pribadinya sehingga Anda juga menghostingnya di situs Anda, menggunakan Indikasi Nama Server (dengan asumsi port yang sama, dan tentu saja alamat IP yang sama karena Anda menggunakan CNAME). Ini akan berhasil untuk klien yang mendukung SNI. Namun akan ada risiko tertentu bagi mereka jika memberikan kunci pribadinya kepada Anda (yang umumnya tidak disarankan).

person Bruno    schedule 02.05.2012
comment
Ini mengecewakan. Saya kira saya harus menjauhi https dan mengarahkannya kembali sesuai kebutuhan. - person bones; 02.05.2012

arrow_upward
0
arrow_downward

Berikut ini sudah diatur dan berfungsi:

Entri DNS untuk a.corp.com -> CNAME b.corp2.com -> A 1.2.3.4

Haproxy di 1.2.3.4 akan menyajikan sertifikat untuk a.corp.com dan situs dimuat dengan baik dari backend server web.

Jadi, di server Anda, Anda memerlukan user1.theirsite.com cert dan itu akan berfungsi.

person ffghfgh    schedule 19.01.2016