मैं यह समझना चाहता था कि अगर मेरी किरायेदार कंपनी के पास वाइल्डकार्ड SSL प्रमाणपत्र है, तो क्या वह इस सेटअप के साथ काम करेगा या नए SSL प्रमाणपत्र को खरीदना होगा docs.tenantcompany.com
?
संक्षिप्त उत्तर: नहीं। यदि आपकी किरायेदार कंपनी के नाम में वाइल्डकार्ड है *.tenantcompany.com
, तो वह आपके सर्वर पर उस नाम से एक्सेस को कवर करने के लिए पर्याप्त है। आप यह करना चाहते हैं या नहीं एक और कहानी है।
नाम में एक प्रमाण पत्र docs.<tenant>.mycompany.com
(जैसे एक प्रत्यक्ष प्रमाण पत्र, या एक वाइल्डकार्ड *.<tenant>.mycompany.com
) बेकार है यदि उपयोग हमेशा docs.tenantcompany.com
नाम के माध्यम से किया जाता है ।
लंबा जवाब
मान लीजिए आप https://docs.tenantcompany.com
एक उचित ब्राउज़र में ब्राउज़ करते हैं । ब्राउज़र HTTP प्रोटोकॉल पर TLS चलाता है। यह विशेष रूप से दो चीजों की परवाह करता है; उस:
ब्राउज़र और ऑपरेटिंग सिस्टम का DNS सबसिस्टम एक उपयुक्त होस्ट का आईपी पता लौटाता है, जो स्थानीय नेटवर्क या इंटरनेट पर कहीं और एक उपयुक्त पोर्ट पर एक वेब सर्वर चला रहा है। HTTPS (सुरक्षित) ट्रैफ़िक के लिए, डिफ़ॉल्ट पोर्ट 443
तब तक है जब तक अन्यथा URL में ओवरराइड नहीं किया जाता है।
जब टीएलएस हैंडशेक ब्राउज़र और रिमोट सर्वर के बीच होता है, तो सर्वर एक विश्वसनीय प्रमाण पत्र प्रस्तुत करता है जो उसे अनुरोधित पते ( docs.tenantcompany.com
) पर TLS सेवा प्रदान करने की अनुमति देता है ।
डीएनएस
ब्राउज़र DNS को एक ब्लैक बॉक्स के रूप में देखता है। यह एक अनुकूलतम पूर्ण योग्य डोमेन नाम (FQDN) से उपयुक्त IP पते (v4 या v6) में मैपिंग के लिए पूछने के लिए एक उपयुक्त DNS लाइब्रेरी को कॉल करता है। यह परवाह नहीं करता है कि यह उस आईपी पते को कैसे प्राप्त करता है। यदि CNAME
मूल रिकॉर्ड और A
या AAAA
रिकॉर्ड के बीच DNS में 20 उपनाम हैं , तो आईपी पता प्राप्त होने तक DNS रिज़ॉल्वर उनका अनुसरण करेगा।
टीएलएस
जब ब्राउज़र TLS हैंडशेक करता है , तो उसे यह सत्यापित करने की आवश्यकता होती है कि जिस सर्वर से वह संचार कर रहा है, वह अनुरोधित FQDN पर सुरक्षित वेबसाइट सेवा प्रदान करने के लिए अधिकृत है docs.tenantcompany.com
:।
याद रखें: ब्राउज़र के बारे में परवाह नहीं है docs.<tenant>.mycompany.com
- DNS रिसॉल्वर ने CNAME
रिकॉर्ड के माध्यम से अप्रत्यक्ष के सभी ज्ञान को दूर कर दिया है।
सर्वर पर सुरक्षित सत्रों की सेवा के लिए अधिकृत करने का हमारा तरीका docs.tenantcompany.com
एक एसएसएल प्रमाणपत्र के माध्यम से है, जो एक प्राधिकरण द्वारा हस्ताक्षरित है, जिसके लिए ब्राउज़र के रूट प्रमाणपत्र स्टोर में पूर्व विश्वास स्थापित किया गया है। यह हमेशा क्लाइंट के लिए सर्वर के प्रमाणीकरण का सबसे मजबूत रूप नहीं है - केंद्रीकृत सीए मॉडल में बहुत कुछ गलत हो सकता है - लेकिन यह इस समय हमारे पास सबसे अच्छा है।
यहां दो और कैविएट हैं:
कुंजी साझा करना
कई वाणिज्यिक एसएसएल प्रमाणपत्र विक्रेता केवल एक हस्ताक्षर करने वाले अनुरोध पर हस्ताक्षर करेंगे, जो प्रभावी रूप से एक निजी कुंजी के लिए वाइल्डकार्ड प्रमाणपत्र को बांधता है। किरायेदार कंपनी अपने संगठन के बाहर इसे साझा करने में असहज हो सकती है, क्योंकि निजी कुंजी के कब्जे में कोई भी स्पष्ट रूप से किरायेदार कंपनी के अन्य सुरक्षित प्रणालियों के साथ संचार से समझौता कर सकता है।
कुछ विक्रेता एक ही प्रमाणपत्र के तहत कई प्रमाणपत्रों पर हस्ताक्षर करने के अनुरोध पर हस्ताक्षर करेंगे, जो एकल वाइल्डकार्ड प्रमाणपत्र को उनके बीच निजी कुंजी साझा किए बिना कई सर्वर और सिस्टम पर स्थापित करने की अनुमति देता है।
मुखौटा धारण कर लिया
यदि किरायेदार कंपनी आपको अपने वाइल्डकार्ड प्रमाणपत्र की एक प्रति (या तो निजी कुंजी साझा करके, या अपने स्वयं के सीएसआर पर हस्ताक्षर करके) प्रदान करती है, तो आप <anydomain>.tenantcompany.com
एक महत्वपूर्ण सुरक्षा को तोड़ते हुए tenantcompany.com
DNS नामस्थान में पहचाने गए सर्वर की अखंडता को सुनिश्चित कर सकते हैं । यह आपके और किरायेदार कंपनी दोनों के लिए एक खराब स्थिति हो सकती है, कानूनी / देयता के दृष्टिकोण से।