আমি বুঝতে চাইছিলাম আমার ভাড়াটে সংস্থার যদি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র রয়েছে, এটি কি এই সেটআপটি দিয়ে কাজ করবে বা নতুন কোনও এসএসএল শংসাপত্র কেনা উচিত docs.tenantcompany.com
?
সংক্ষিপ্ত উত্তর: না No. যদি আপনার ভাড়াটে সংস্থার নামে একটি ওয়াইল্ডকার্ড থাকে তবে সেই নামটি দিয়ে *.tenantcompany.com
অ্যাক্সেসগুলি coverাকতে আপনার সার্ভারে এটি ইনস্টল করার জন্য যথেষ্ট। আপনি এটি করতে চান বা না চান এটি অন্য গল্প।
যদি নামের মাধ্যমে সর্বদা অ্যাক্সেস করা থাকে তবে নামের একটি শংসাপত্র docs.<tenant>.mycompany.com
(যেমন প্রত্যক্ষ শংসাপত্র, বা একটি ওয়াইল্ডকার্ড *.<tenant>.mycompany.com
) অকেজো docs.tenantcompany.com
।
দীর্ঘ উত্তর
মনে করুন আপনি https://docs.tenantcompany.com
যুক্তিসঙ্গত ব্রাউজারে ব্রাউজ করেছেন । ব্রাউজারটি HTTP প্রোটোকলের উপর দিয়ে টিএলএস চালায়। এটি দুটি বিষয় সম্পর্কে বিশেষভাবে যত্নশীল; যে:
ব্রাউজার এবং অপারেটিং সিস্টেমের ডিএনএস সাবসিস্টেমটি একটি উপযুক্ত হোস্টের আইপি ঠিকানা প্রদান করে, যা স্থানীয় নেটওয়ার্ক বা ইন্টারনেটের অন্য কোনও উপযুক্ত পোর্টে একটি ওয়েব সার্ভার চালাচ্ছে। HTTPS (সুরক্ষিত) ট্র্যাফিকের জন্য, 443
ইউআরএলে অন্যথায় ওভাররাইড না করা হলে ডিফল্ট পোর্টটি হয় is
ব্রাউজার এবং রিমোট সার্ভারের মধ্যে যখন টিএলএস হ্যান্ডশেক হয় তখন সার্ভারটি একটি বিশ্বস্ত শংসাপত্র উপস্থাপন করে যা অনুরোধ করা ঠিকানায় ( docs.tenantcompany.com
) একটি টিএলএস পরিষেবা সরবরাহ করার অনুমতি দেয় ।
ডিএনএস
ব্রাউজারটি ডিএনএসকে একটি কালো বাক্স হিসাবে দেখে। এটি একটি উপযুক্ত ডিএনএস লাইব্রেরিতে কল করে একটি বন্ধুত্বপূর্ণ পূর্ণ-যোগ্যতাসম্পন্ন ডোমেইন নাম (এফকিউডিএন) থেকে একটি উপযুক্ত আইপি ঠিকানা (v4 বা v6) এ ম্যাপিংয়ের জন্য জিজ্ঞাসা করে। এটি কীভাবে সেই আইপি ঠিকানা পায় তা বিবেচ্য নয়। CNAME
মূল রেকর্ড এবং একটি A
বা AAAA
রেকর্ডের মধ্যে যদি ডিএনএসে 20 টি এলিয়াস থাকে তবে কোনও আইপি ঠিকানা না পাওয়া পর্যন্ত ডিএনএস রেজলভার তাদের অনুসরণ করবে।
TLS এর
ব্রাউজার সঞ্চালিত যখন TLS এর হ্যান্ডশেক , এটা যে সার্ভার এটি সঙ্গে FQDN উপর কোনো নিরাপদ ওয়েবসাইটে সেবা প্রদান করার জন্য অনুমোদিত হয় যোগাযোগ করা হয় অনুরোধ যাচাই করতে হবে: docs.tenantcompany.com
।
মনে রাখবেন: ব্রাউজারটি যত্ন করে না docs.<tenant>.mycompany.com
- ডিএনএস সমাধানকারী CNAME
রেকর্ডের মাধ্যমে ইন্ডিয়ারেশনের সমস্ত জ্ঞান বিমূর্ত করে ফেলেছে ।
সুরক্ষিত সেশনগুলি পরিবেশন করার জন্য সার্ভারকে অনুমোদন দেওয়ার আমাদের পদ্ধতিটি docs.tenantcompany.com
কোনও এসএসএল শংসাপত্রের মাধ্যমে যা ব্রাউজারের মূল শংসাপত্রের স্টোরটিতে পূর্বে বিশ্বাস প্রতিষ্ঠিত হয়েছে এমন কর্তৃপক্ষের দ্বারা স্বাক্ষরিত। এটি সর্বদা ক্লায়েন্টের কাছে সার্ভারের প্রমাণীকরণের সবচেয়ে শক্তিশালী ফর্ম নয় - কেন্দ্রীভূত সিএ মডেলটিতে প্রচুর ভুল হতে পারে - তবে এই মুহূর্তে এটি আমাদের সেরা best
এখানে আরও দুটি ক্যাভেট রয়েছে:
কী ভাগ করে নেওয়া
অনেক বাণিজ্যিক এসএসএল শংসাপত্র বিক্রেতারা কেবল একটি একক স্বাক্ষর করার অনুরোধটিতে স্বাক্ষর করবেন, যা কার্যকরভাবে ওয়াইল্ডকার্ড শংসাপত্রকে একটি একক ব্যক্তিগত কীতে আবদ্ধ করে। ভাড়াটিয়া সংস্থাটি তাদের সংস্থার বাইরে এটিকে ভাগাভাগি করতে অস্বস্তিতে থাকতে পারে, কারণ ব্যক্তিগত কী দখলে থাকা কোনও ব্যক্তি অবশ্যই ভাড়াটে সংস্থার অন্যান্য সুরক্ষিত সিস্টেমের সাথে যোগাযোগের ক্ষেত্রে আপস করতে পারেন।
কিছু বিক্রেতারা একই শংসাপত্রের অধীনে একাধিক শংসাপত্র স্বাক্ষর করার অনুরোধগুলিতে স্বাক্ষর করবেন, যা তাদের মধ্যে ব্যক্তিগত কী ভাগ না করে একক ওয়াইল্ডকার্ড শংসাপত্র একাধিক সার্ভার এবং সিস্টেমে ইনস্টল করার অনুমতি দেয়।
ছদ্মবেশে
যদি ভাড়াটিয়া সংস্থা আপনাকে তাদের ওয়াইল্ডকার্ড শংসাপত্রের একটি অনুলিপি সরবরাহ করে (হয় ব্যক্তিগত কী ভাগ করে নেওয়ার মাধ্যমে, বা আপনার নিজস্ব সিএসআর স্বাক্ষর করে), আপনি <anydomain>.tenantcompany.com
একটি গুরুত্বপূর্ণ সুরক্ষা ভেঙে দিতে পারেন যা tenantcompany.com
ডিএনএস নেমস্পেসে চিহ্নিত সার্ভারগুলির অখণ্ডতা নিশ্চিত করে । আইনী / দায়বদ্ধতার দৃষ্টিকোণ থেকে আপনার এবং ভাড়াটে সংস্থার জন্য রাখা দুজনের পক্ষে এটি খারাপ অবস্থান হতে পারে।