ডিএনএস পুনঃনির্দেশের জন্য আমার কি আলাদা এসএসএল শংসাপত্রের দরকার?

আমি একটি বহু-ভাড়াটে অ্যাপ্লিকেশন বাস্তবায়ন করছি যেখানে আমার অ্যাপ্লিকেশন ভাড়াটেটির পণ্যের জন্য প্রযুক্তিগত ডকুমেন্টেশন হোস্ট করে এবং সরবরাহ করে।

এখন, পদ্ধতির যে আমি বিবেচনা ছিল - আমি এ ডকুমেন্টেশন হোস্ট docs.<tenant>.mycompany.comএবং আমার প্রজা বিন্দু একটি CNAME DNS রেকর্ড সেটআপ জিজ্ঞাসা docs.tenantcompany.comকরতে docs.<tenant>.mycompany.com।

আমি আমার ভাড়াটিয়ার শংসাপত্রের সাথে সাইটটি এসএসএল-সক্ষম হতে চাই। আমি বুঝতে চেয়েছিলাম আমার ভাড়াটে সংস্থার যদি একটি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র রয়েছে, এটি কি এই সেটআপটি নিয়ে কাজ করবে বা একটি নতুন এসএসএল শংসাপত্র কেনা উচিত docs.tenantcompany.com?

— codematix
সূত্র

কেবল স্পষ্ট করে বলার জন্য, আপনার * .mycompany.com এর জন্য একটি ওয়াইল্ডকার্ড রয়েছে?

— জিমাহান

@ উইল্ডওলোসিরাপ্টর হ্যাঁ আমার কাছে একটি ওয়াইল্ডকার্ড এসএসএল *.mycompany.com

— সার্টি আছে

@ কোডেমেটিক্স কোনও সন্দেহ এড়ানো জন্য, একটি ওয়াইল্ডকার্ড শংসাপত্র *.example.com মিলবে না docs.tenantname.example.com ! ওয়াইল্ডকার্ড কেবল একটি 'সাব-ডোমেন' এর জন্য ভাল; এটি মিলবে docs-tenantname.example.com , উদাহরণস্বরূপ। অ্যামাজনের এস 3 এর একটি ভাল উদাহরণ: *.s3.amazonaws.comএকটি সময়কালের সাথে বালতি অ্যাক্সেস করার সময় শংসাপত্রটি ব্যর্থ হয় www.example.com( যেমন হোস্টনামের সাথে শেষ হয় www.example.com.s3.amazonaws.com); এস 3 ওয়েব হোস্টিংয়ের জন্য এই জাতীয় বালতির নামগুলি প্রয়োজনীয়।

— ক্যালরিয়ান

মনে রাখবেন যে আপনার নিজের সার্ভারের দিকে ইঙ্গিত করে একটি নাম ব্যবহার করার অর্থ আপনি ভাড়াটে-সরবরাহিত শংসাপত্রের প্রয়োজনীয়তা এড়াতে পারবেন। কিছু শংসাপত্র সরবরাহকারী ( লেটসেনক্রিপ.অর্গ সহ ) https এর মাধ্যমে ডোমেনের মালিকানা বৈধকরণ সমর্থন করে। সুরক্ষার সর্বোত্তম অনুশীলনের বিষয় হিসাবে, এই পদ্ধতির তুলনায় অনেক উন্নত (ইতিমধ্যে সার্ভারফল্ট / এ / 656595৫957 / 80৪৮০ তে আলোচনা করা হয়েছে )। আপনার ভাড়াটিয়াকে তাদের নিজস্ব শংসাপত্র সরবরাহ করার অনুমতি দেওয়া ভাল (যদিও এটি নিজেই ভাড়াটে তৈরি করা সহজ) তবে তাদের ওয়াইল্ড-কার্ড শংসাপত্র সরবরাহ করা উচিত নয়।

— ব্রায়ান

উত্তর:

শংসাপত্রের নামটি অবশ্যই ব্রাউজারে প্রবেশ করেছে যা 'চূড়ান্ত' ডিএনএস রেকর্ডের সাথে নয় match যদি ব্যবহারকারী প্রবেশ করে docs.tenantcompany.comতবে আপনার এসএসএল শংসাপত্রটি এটি আবরণ করতে হবে।

যদি docs.tenantcompany.comএকটি CNAME হয় foo.example.com, শংসাপত্রের নেই না কভার প্রয়োজন foo.example.com, শুধু docs.tenantcompany.com।

— জেসন মার্টিন
সূত্র

জেসনের উত্তরটি সঠিক। তবে এখানে কিছুটা শর্তাবলী স্পষ্ট করার জন্য, "ডিএনএস পুনর্নির্দেশ" হ'ল কিছুটা মিসনোমার। ডিএনএসের সিএনএম রেকর্ড রয়েছে (ওরফে অ্যালিয়াসস) যা অন্য নামে ইঙ্গিত করে এমন একটি নাম। তবে এটি পুনর্নির্দেশ নয়। নাম থেকে আইপি অনুবাদ অনুবাদ সমস্ত পটভূমিতে ঘটে এবং আপনার ব্রাউজারটি কেবলমাত্র প্রাথমিক নামটির যত্ন করে।

কেবলমাত্র যা ওয়েব সার্ভারগুলি পুনর্নির্দেশ করে তা হ'ল যেখানে সার্ভার স্পষ্টভাবে আপনার ব্রাউজারকে অন্য কোথাও যেতে বলছে। আপনার ওয়েব সার্ভারে যদি হয় আসলে অন্য কোনো নামে একটি পুনঃচালনা করছেন, আপনি হবে আসলে উভয় নামের জন্য শংশাপত্র প্রয়োজন কেননা আপনার ব্রাউজার পরিণামে আলাদাভাবে তাদের উভয়ের সাথে সংযোগ করা হবে।

— রায়ান বোলার
সূত্র

আমাকে সংশোধন করার জন্য আপনাকে ধন্যবাদ। আপনি ঠিক বলেছেন, এটি পুনর্নির্দেশ নয় বরং সিএমএল ওরফে।

— কোডমেটিক্স

আমার ক্লায়েন্ট একটি Server Aডোমেন সঙ্গে আছে example.com। আমি তার জন্য একটি ওয়েবসাইট তৈরি করেছি এবং সাইটটি বজায় রেখেছি Server B। আমার ক্লায়েন্ট তার ডিএনএস কনফিগার করেছেন A Recordযা dog.example.comআমার সার্ভারের আইপি ঠিকানার দিকে নির্দেশ করে Server B। এখন আমার ক্লায়েন্ট এসএসএল পাচ্ছেন dog.example.com। আমার প্রশ্নটি হল, আমার ক্লায়েন্টকে কি ভিতরে প্রবেশের জন্য এসএসএল শংসাপত্র দিতে হবে Server B? নাকি ওকে শুধু inুকতে হবে Server A? বা আমাদের আর কী করা উচিত? আমরা দুজনেই এ নিয়ে বিভ্রান্ত, ধন্যবাদ!

— ব্যবহারকারী 2875289

যদি dog.example.comআপনার সার্ভারের আইপিতে সরাসরি পয়েন্টগুলির জন্য রেকর্ড থাকে তবে হ্যাঁ। আপনার সার্ভারে অবশ্যই এই নামের জন্য শংসাপত্র এবং ব্যক্তিগত কী থাকতে হবে। আপনার উদাহরণে সার্ভার এ অপ্রাসঙ্গিক।

— রায়ান বলার

@ রায়ানবোলগার হ্যাঁ, ঠিক যেমনটি আপনি বলেছেন। আমার ক্লায়েন্ট তার জন্য একটি শংসাপত্র প্রয়োগ করেছিলেন dog.example.comএবং শংসাপত্র এবং ব্যক্তিগত কী আমাকে পাঠান। আমি তাদের ভিতরে রেখেছি Server Bএবং এগুলি ব্যবহার করার জন্য এনগিনেক্সকে কনফিগার করেছি। এবং এখন সবকিছু ঠিকঠাক কাজ করে। তোমাকে ধন্যবাদ!

— ব্যবহারকারী 2875289

প্রযুক্তিগততার একটি বিন্দুতে কেবল একটি নোট; যেহেতু এখন "ALIAS" রেকর্ড রয়েছে, তাই আমি বলব না যে CNAME হয় হয় এলিয়াস;]

— গ্রেট ক্লোর্ন

আমি বুঝতে চাইছিলাম আমার ভাড়াটে সংস্থার যদি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র রয়েছে, এটি কি এই সেটআপটি দিয়ে কাজ করবে বা নতুন কোনও এসএসএল শংসাপত্র কেনা উচিত docs.tenantcompany.com?

সংক্ষিপ্ত উত্তর: না No. যদি আপনার ভাড়াটে সংস্থার নামে একটি ওয়াইল্ডকার্ড থাকে তবে সেই নামটি দিয়ে *.tenantcompany.comঅ্যাক্সেসগুলি coverাকতে আপনার সার্ভারে এটি ইনস্টল করার জন্য যথেষ্ট। আপনি এটি করতে চান বা না চান এটি অন্য গল্প।

যদি নামের মাধ্যমে সর্বদা অ্যাক্সেস করা থাকে তবে নামের একটি শংসাপত্র docs.<tenant>.mycompany.com(যেমন প্রত্যক্ষ শংসাপত্র, বা একটি ওয়াইল্ডকার্ড *.<tenant>.mycompany.com) অকেজো docs.tenantcompany.com।

দীর্ঘ উত্তর

মনে করুন আপনি https://docs.tenantcompany.comযুক্তিসঙ্গত ব্রাউজারে ব্রাউজ করেছেন । ব্রাউজারটি HTTP প্রোটোকলের উপর দিয়ে টিএলএস চালায়। এটি দুটি বিষয় সম্পর্কে বিশেষভাবে যত্নশীল; যে:

ব্রাউজার এবং অপারেটিং সিস্টেমের ডিএনএস সাবসিস্টেমটি একটি উপযুক্ত হোস্টের আইপি ঠিকানা প্রদান করে, যা স্থানীয় নেটওয়ার্ক বা ইন্টারনেটের অন্য কোনও উপযুক্ত পোর্টে একটি ওয়েব সার্ভার চালাচ্ছে। HTTPS (সুরক্ষিত) ট্র্যাফিকের জন্য, 443ইউআরএলে অন্যথায় ওভাররাইড না করা হলে ডিফল্ট পোর্টটি হয় is
ব্রাউজার এবং রিমোট সার্ভারের মধ্যে যখন টিএলএস হ্যান্ডশেক হয় তখন সার্ভারটি একটি বিশ্বস্ত শংসাপত্র উপস্থাপন করে যা অনুরোধ করা ঠিকানায় ( docs.tenantcompany.com) একটি টিএলএস পরিষেবা সরবরাহ করার অনুমতি দেয় ।

ডিএনএস

ব্রাউজারটি ডিএনএসকে একটি কালো বাক্স হিসাবে দেখে। এটি একটি উপযুক্ত ডিএনএস লাইব্রেরিতে কল করে একটি বন্ধুত্বপূর্ণ পূর্ণ-যোগ্যতাসম্পন্ন ডোমেইন নাম (এফকিউডিএন) থেকে একটি উপযুক্ত আইপি ঠিকানা (v4 বা v6) এ ম্যাপিংয়ের জন্য জিজ্ঞাসা করে। এটি কীভাবে সেই আইপি ঠিকানা পায় তা বিবেচ্য নয়। CNAMEমূল রেকর্ড এবং একটি Aবা AAAAরেকর্ডের মধ্যে যদি ডিএনএসে 20 টি এলিয়াস থাকে তবে কোনও আইপি ঠিকানা না পাওয়া পর্যন্ত ডিএনএস রেজলভার তাদের অনুসরণ করবে।

TLS এর

ব্রাউজার সঞ্চালিত যখন TLS এর হ্যান্ডশেক , এটা যে সার্ভার এটি সঙ্গে FQDN উপর কোনো নিরাপদ ওয়েবসাইটে সেবা প্রদান করার জন্য অনুমোদিত হয় যোগাযোগ করা হয় অনুরোধ যাচাই করতে হবে: docs.tenantcompany.com।

মনে রাখবেন: ব্রাউজারটি যত্ন করে না docs.<tenant>.mycompany.com- ডিএনএস সমাধানকারী CNAMEরেকর্ডের মাধ্যমে ইন্ডিয়ারেশনের সমস্ত জ্ঞান বিমূর্ত করে ফেলেছে ।

সুরক্ষিত সেশনগুলি পরিবেশন করার জন্য সার্ভারকে অনুমোদন দেওয়ার আমাদের পদ্ধতিটি docs.tenantcompany.comকোনও এসএসএল শংসাপত্রের মাধ্যমে যা ব্রাউজারের মূল শংসাপত্রের স্টোরটিতে পূর্বে বিশ্বাস প্রতিষ্ঠিত হয়েছে এমন কর্তৃপক্ষের দ্বারা স্বাক্ষরিত। এটি সর্বদা ক্লায়েন্টের কাছে সার্ভারের প্রমাণীকরণের সবচেয়ে শক্তিশালী ফর্ম নয় - কেন্দ্রীভূত সিএ মডেলটিতে প্রচুর ভুল হতে পারে - তবে এই মুহূর্তে এটি আমাদের সেরা best

এখানে আরও দুটি ক্যাভেট রয়েছে:

কী ভাগ করে নেওয়া

অনেক বাণিজ্যিক এসএসএল শংসাপত্র বিক্রেতারা কেবল একটি একক স্বাক্ষর করার অনুরোধটিতে স্বাক্ষর করবেন, যা কার্যকরভাবে ওয়াইল্ডকার্ড শংসাপত্রকে একটি একক ব্যক্তিগত কীতে আবদ্ধ করে। ভাড়াটিয়া সংস্থাটি তাদের সংস্থার বাইরে এটিকে ভাগাভাগি করতে অস্বস্তিতে থাকতে পারে, কারণ ব্যক্তিগত কী দখলে থাকা কোনও ব্যক্তি অবশ্যই ভাড়াটে সংস্থার অন্যান্য সুরক্ষিত সিস্টেমের সাথে যোগাযোগের ক্ষেত্রে আপস করতে পারেন।

কিছু বিক্রেতারা একই শংসাপত্রের অধীনে একাধিক শংসাপত্র স্বাক্ষর করার অনুরোধগুলিতে স্বাক্ষর করবেন, যা তাদের মধ্যে ব্যক্তিগত কী ভাগ না করে একক ওয়াইল্ডকার্ড শংসাপত্র একাধিক সার্ভার এবং সিস্টেমে ইনস্টল করার অনুমতি দেয়।

ছদ্মবেশে

যদি ভাড়াটিয়া সংস্থা আপনাকে তাদের ওয়াইল্ডকার্ড শংসাপত্রের একটি অনুলিপি সরবরাহ করে (হয় ব্যক্তিগত কী ভাগ করে নেওয়ার মাধ্যমে, বা আপনার নিজস্ব সিএসআর স্বাক্ষর করে), আপনি <anydomain>.tenantcompany.comএকটি গুরুত্বপূর্ণ সুরক্ষা ভেঙে দিতে পারেন যা tenantcompany.comডিএনএস নেমস্পেসে চিহ্নিত সার্ভারগুলির অখণ্ডতা নিশ্চিত করে । আইনী / দায়বদ্ধতার দৃষ্টিকোণ থেকে আপনার এবং ভাড়াটে সংস্থার জন্য রাখা দুজনের পক্ষে এটি খারাপ অবস্থান হতে পারে।

— কসমিক অসিফ্রেজ
সূত্র

বিস্তারিত উত্তরের জন্য অনেক ধন্যবাদ। এটি খুব সহায়ক এবং আমি যা করার চেষ্টা করছি তার নৈতিক ও আইনী দিকগুলি বিবেচনা করতে আমাকে সহায়তা করেছে।

— কোডমেটিক্স