ডিএনএস পুনঃনির্দেশের জন্য আমার কি আলাদা এসএসএল শংসাপত্রের দরকার?


17

আমি একটি বহু-ভাড়াটে অ্যাপ্লিকেশন বাস্তবায়ন করছি যেখানে আমার অ্যাপ্লিকেশন ভাড়াটেটির পণ্যের জন্য প্রযুক্তিগত ডকুমেন্টেশন হোস্ট করে এবং সরবরাহ করে।

এখন, পদ্ধতির যে আমি বিবেচনা ছিল - আমি এ ডকুমেন্টেশন হোস্ট docs.<tenant>.mycompany.comএবং আমার প্রজা বিন্দু একটি CNAME DNS রেকর্ড সেটআপ জিজ্ঞাসা docs.tenantcompany.comকরতে docs.<tenant>.mycompany.com

আমি আমার ভাড়াটিয়ার শংসাপত্রের সাথে সাইটটি এসএসএল-সক্ষম হতে চাই। আমি বুঝতে চেয়েছিলাম আমার ভাড়াটে সংস্থার যদি একটি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র রয়েছে, এটি কি এই সেটআপটি নিয়ে কাজ করবে বা একটি নতুন এসএসএল শংসাপত্র কেনা উচিত docs.tenantcompany.com?


কেবল স্পষ্ট করে বলার জন্য, আপনার * .mycompany.com এর জন্য একটি ওয়াইল্ডকার্ড রয়েছে?
জিমাহান

@ উইল্ডওলোসিরাপ্টর হ্যাঁ আমার কাছে একটি ওয়াইল্ডকার্ড এসএসএল *.mycompany.com
সার্টি আছে

@ কোডেমেটিক্স কোনও সন্দেহ এড়ানো জন্য, একটি ওয়াইল্ডকার্ড শংসাপত্র *.example.com মিলবে না docs.tenantname.example.com ! ওয়াইল্ডকার্ড কেবল একটি 'সাব-ডোমেন' এর জন্য ভাল; এটি মিলবে docs-tenantname.example.com , উদাহরণস্বরূপ। অ্যামাজনের এস 3 এর একটি ভাল উদাহরণ: *.s3.amazonaws.comএকটি সময়কালের সাথে বালতি অ্যাক্সেস করার সময় শংসাপত্রটি ব্যর্থ হয় www.example.com( যেমন হোস্টনামের সাথে শেষ হয় www.example.com.s3.amazonaws.com); এস 3 ওয়েব হোস্টিংয়ের জন্য এই জাতীয় বালতির নামগুলি প্রয়োজনীয়।
ক্যালরিয়ান

মনে রাখবেন যে আপনার নিজের সার্ভারের দিকে ইঙ্গিত করে একটি নাম ব্যবহার করার অর্থ আপনি ভাড়াটে-সরবরাহিত শংসাপত্রের প্রয়োজনীয়তা এড়াতে পারবেন। কিছু শংসাপত্র সরবরাহকারী ( লেটসেনক্রিপ.অর্গ সহ ) https এর মাধ্যমে ডোমেনের মালিকানা বৈধকরণ সমর্থন করে। সুরক্ষার সর্বোত্তম অনুশীলনের বিষয় হিসাবে, এই পদ্ধতির তুলনায় অনেক উন্নত (ইতিমধ্যে সার্ভারফল্ট / এ / 656595৫957 / 80৪৮০ তে আলোচনা করা হয়েছে )। আপনার ভাড়াটিয়াকে তাদের নিজস্ব শংসাপত্র সরবরাহ করার অনুমতি দেওয়া ভাল (যদিও এটি নিজেই ভাড়াটে তৈরি করা সহজ) তবে তাদের ওয়াইল্ড-কার্ড শংসাপত্র সরবরাহ করা উচিত নয়।
ব্রায়ান

উত্তর:


39

শংসাপত্রের নামটি অবশ্যই ব্রাউজারে প্রবেশ করেছে যা 'চূড়ান্ত' ডিএনএস রেকর্ডের সাথে নয় match যদি ব্যবহারকারী প্রবেশ করে docs.tenantcompany.comতবে আপনার এসএসএল শংসাপত্রটি এটি আবরণ করতে হবে।

যদি docs.tenantcompany.comএকটি CNAME হয় foo.example.com, শংসাপত্রের নেই না কভার প্রয়োজন foo.example.com, শুধু docs.tenantcompany.com


25

জেসনের উত্তরটি সঠিক। তবে এখানে কিছুটা শর্তাবলী স্পষ্ট করার জন্য, "ডিএনএস পুনর্নির্দেশ" হ'ল কিছুটা মিসনোমার। ডিএনএসের সিএনএম রেকর্ড রয়েছে (ওরফে অ্যালিয়াসস) যা অন্য নামে ইঙ্গিত করে এমন একটি নাম। তবে এটি পুনর্নির্দেশ নয়। নাম থেকে আইপি অনুবাদ অনুবাদ সমস্ত পটভূমিতে ঘটে এবং আপনার ব্রাউজারটি কেবলমাত্র প্রাথমিক নামটির যত্ন করে।

কেবলমাত্র যা ওয়েব সার্ভারগুলি পুনর্নির্দেশ করে তা হ'ল যেখানে সার্ভার স্পষ্টভাবে আপনার ব্রাউজারকে অন্য কোথাও যেতে বলছে। আপনার ওয়েব সার্ভারে যদি হয় আসলে অন্য কোনো নামে একটি পুনঃচালনা করছেন, আপনি হবে আসলে উভয় নামের জন্য শংশাপত্র প্রয়োজন কেননা আপনার ব্রাউজার পরিণামে আলাদাভাবে তাদের উভয়ের সাথে সংযোগ করা হবে।


2
আমাকে সংশোধন করার জন্য আপনাকে ধন্যবাদ। আপনি ঠিক বলেছেন, এটি পুনর্নির্দেশ নয় বরং সিএমএল ওরফে।
কোডমেটিক্স

আমার ক্লায়েন্ট একটি Server Aডোমেন সঙ্গে আছে example.com। আমি তার জন্য একটি ওয়েবসাইট তৈরি করেছি এবং সাইটটি বজায় রেখেছি Server B। আমার ক্লায়েন্ট তার ডিএনএস কনফিগার করেছেন A Recordযা dog.example.comআমার সার্ভারের আইপি ঠিকানার দিকে নির্দেশ করে Server B। এখন আমার ক্লায়েন্ট এসএসএল পাচ্ছেন dog.example.com। আমার প্রশ্নটি হল, আমার ক্লায়েন্টকে কি ভিতরে প্রবেশের জন্য এসএসএল শংসাপত্র দিতে হবে Server B? নাকি ওকে শুধু inুকতে হবে Server A? বা আমাদের আর কী করা উচিত? আমরা দুজনেই এ নিয়ে বিভ্রান্ত, ধন্যবাদ!
ব্যবহারকারী 2875289

1
যদি dog.example.comআপনার সার্ভারের আইপিতে সরাসরি পয়েন্টগুলির জন্য রেকর্ড থাকে তবে হ্যাঁ। আপনার সার্ভারে অবশ্যই এই নামের জন্য শংসাপত্র এবং ব্যক্তিগত কী থাকতে হবে। আপনার উদাহরণে সার্ভার এ অপ্রাসঙ্গিক।
রায়ান বলার

@ রায়ানবোলগার হ্যাঁ, ঠিক যেমনটি আপনি বলেছেন। আমার ক্লায়েন্ট তার জন্য একটি শংসাপত্র প্রয়োগ করেছিলেন dog.example.comএবং শংসাপত্র এবং ব্যক্তিগত কী আমাকে পাঠান। আমি তাদের ভিতরে রেখেছি Server Bএবং এগুলি ব্যবহার করার জন্য এনগিনেক্সকে কনফিগার করেছি। এবং এখন সবকিছু ঠিকঠাক কাজ করে। তোমাকে ধন্যবাদ!
ব্যবহারকারী 2875289

প্রযুক্তিগততার একটি বিন্দুতে কেবল একটি নোট; যেহেতু এখন "ALIAS" রেকর্ড রয়েছে, তাই আমি বলব না যে CNAME হয় হয় এলিয়াস;]
গ্রেট ক্লোর্ন

9

আমি বুঝতে চাইছিলাম আমার ভাড়াটে সংস্থার যদি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র রয়েছে, এটি কি এই সেটআপটি দিয়ে কাজ করবে বা নতুন কোনও এসএসএল শংসাপত্র কেনা উচিত docs.tenantcompany.com?

সংক্ষিপ্ত উত্তর: না No. যদি আপনার ভাড়াটে সংস্থার নামে একটি ওয়াইল্ডকার্ড থাকে তবে সেই নামটি দিয়ে *.tenantcompany.comঅ্যাক্সেসগুলি coverাকতে আপনার সার্ভারে এটি ইনস্টল করার জন্য যথেষ্ট। আপনি এটি করতে চান বা না চান এটি অন্য গল্প।

যদি নামের মাধ্যমে সর্বদা অ্যাক্সেস করা থাকে তবে নামের একটি শংসাপত্র docs.<tenant>.mycompany.com(যেমন প্রত্যক্ষ শংসাপত্র, বা একটি ওয়াইল্ডকার্ড *.<tenant>.mycompany.com) অকেজো docs.tenantcompany.com


দীর্ঘ উত্তর

মনে করুন আপনি https://docs.tenantcompany.comযুক্তিসঙ্গত ব্রাউজারে ব্রাউজ করেছেন । ব্রাউজারটি HTTP প্রোটোকলের উপর দিয়ে টিএলএস চালায়। এটি দুটি বিষয় সম্পর্কে বিশেষভাবে যত্নশীল; যে:

  • ব্রাউজার এবং অপারেটিং সিস্টেমের ডিএনএস সাবসিস্টেমটি একটি উপযুক্ত হোস্টের আইপি ঠিকানা প্রদান করে, যা স্থানীয় নেটওয়ার্ক বা ইন্টারনেটের অন্য কোনও উপযুক্ত পোর্টে একটি ওয়েব সার্ভার চালাচ্ছে। HTTPS (সুরক্ষিত) ট্র্যাফিকের জন্য, 443ইউআরএলে অন্যথায় ওভাররাইড না করা হলে ডিফল্ট পোর্টটি হয় is

  • ব্রাউজার এবং রিমোট সার্ভারের মধ্যে যখন টিএলএস হ্যান্ডশেক হয় তখন সার্ভারটি একটি বিশ্বস্ত শংসাপত্র উপস্থাপন করে যা অনুরোধ করা ঠিকানায় ( docs.tenantcompany.com) একটি টিএলএস পরিষেবা সরবরাহ করার অনুমতি দেয় ।

ডিএনএস

ব্রাউজারটি ডিএনএসকে একটি কালো বাক্স হিসাবে দেখে। এটি একটি উপযুক্ত ডিএনএস লাইব্রেরিতে কল করে একটি বন্ধুত্বপূর্ণ পূর্ণ-যোগ্যতাসম্পন্ন ডোমেইন নাম (এফকিউডিএন) থেকে একটি উপযুক্ত আইপি ঠিকানা (v4 বা v6) এ ম্যাপিংয়ের জন্য জিজ্ঞাসা করে। এটি কীভাবে সেই আইপি ঠিকানা পায় তা বিবেচ্য নয়। CNAMEমূল রেকর্ড এবং একটি Aবা AAAAরেকর্ডের মধ্যে যদি ডিএনএসে 20 টি এলিয়াস থাকে তবে কোনও আইপি ঠিকানা না পাওয়া পর্যন্ত ডিএনএস রেজলভার তাদের অনুসরণ করবে।

TLS এর

ব্রাউজার সঞ্চালিত যখন TLS এর হ্যান্ডশেক , এটা যে সার্ভার এটি সঙ্গে FQDN উপর কোনো নিরাপদ ওয়েবসাইটে সেবা প্রদান করার জন্য অনুমোদিত হয় যোগাযোগ করা হয় অনুরোধ যাচাই করতে হবে: docs.tenantcompany.com

মনে রাখবেন: ব্রাউজারটি যত্ন করে না docs.<tenant>.mycompany.com- ডিএনএস সমাধানকারী CNAMEরেকর্ডের মাধ্যমে ইন্ডিয়ারেশনের সমস্ত জ্ঞান বিমূর্ত করে ফেলেছে ।

সুরক্ষিত সেশনগুলি পরিবেশন করার জন্য সার্ভারকে অনুমোদন দেওয়ার আমাদের পদ্ধতিটি docs.tenantcompany.comকোনও এসএসএল শংসাপত্রের মাধ্যমে যা ব্রাউজারের মূল শংসাপত্রের স্টোরটিতে পূর্বে বিশ্বাস প্রতিষ্ঠিত হয়েছে এমন কর্তৃপক্ষের দ্বারা স্বাক্ষরিত। এটি সর্বদা ক্লায়েন্টের কাছে সার্ভারের প্রমাণীকরণের সবচেয়ে শক্তিশালী ফর্ম নয় - কেন্দ্রীভূত সিএ মডেলটিতে প্রচুর ভুল হতে পারে - তবে এই মুহূর্তে এটি আমাদের সেরা best

এখানে আরও দুটি ক্যাভেট রয়েছে:

কী ভাগ করে নেওয়া

অনেক বাণিজ্যিক এসএসএল শংসাপত্র বিক্রেতারা কেবল একটি একক স্বাক্ষর করার অনুরোধটিতে স্বাক্ষর করবেন, যা কার্যকরভাবে ওয়াইল্ডকার্ড শংসাপত্রকে একটি একক ব্যক্তিগত কীতে আবদ্ধ করে। ভাড়াটিয়া সংস্থাটি তাদের সংস্থার বাইরে এটিকে ভাগাভাগি করতে অস্বস্তিতে থাকতে পারে, কারণ ব্যক্তিগত কী দখলে থাকা কোনও ব্যক্তি অবশ্যই ভাড়াটে সংস্থার অন্যান্য সুরক্ষিত সিস্টেমের সাথে যোগাযোগের ক্ষেত্রে আপস করতে পারেন।

কিছু বিক্রেতারা একই শংসাপত্রের অধীনে একাধিক শংসাপত্র স্বাক্ষর করার অনুরোধগুলিতে স্বাক্ষর করবেন, যা তাদের মধ্যে ব্যক্তিগত কী ভাগ না করে একক ওয়াইল্ডকার্ড শংসাপত্র একাধিক সার্ভার এবং সিস্টেমে ইনস্টল করার অনুমতি দেয়।

ছদ্মবেশে

যদি ভাড়াটিয়া সংস্থা আপনাকে তাদের ওয়াইল্ডকার্ড শংসাপত্রের একটি অনুলিপি সরবরাহ করে (হয় ব্যক্তিগত কী ভাগ করে নেওয়ার মাধ্যমে, বা আপনার নিজস্ব সিএসআর স্বাক্ষর করে), আপনি <anydomain>.tenantcompany.comএকটি গুরুত্বপূর্ণ সুরক্ষা ভেঙে দিতে পারেন যা tenantcompany.comডিএনএস নেমস্পেসে চিহ্নিত সার্ভারগুলির অখণ্ডতা নিশ্চিত করে । আইনী / দায়বদ্ধতার দৃষ্টিকোণ থেকে আপনার এবং ভাড়াটে সংস্থার জন্য রাখা দুজনের পক্ষে এটি খারাপ অবস্থান হতে পারে।


বিস্তারিত উত্তরের জন্য অনেক ধন্যবাদ। এটি খুব সহায়ক এবং আমি যা করার চেষ্টা করছি তার নৈতিক ও আইনী দিকগুলি বিবেচনা করতে আমাকে সহায়তা করেছে।
কোডমেটিক্স
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.