क्या मुझे DNS पुनर्निर्देशन के लिए एक अलग एसएसएल प्रमाणपत्र की आवश्यकता है?

मैं एक बहु-किरायेदार एप्लिकेशन को लागू कर रहा हूं, जहां मेरा एप्लिकेशन होस्ट करता है और एक किरायेदार के उत्पाद के लिए तकनीकी दस्तावेज प्रस्तुत करता है।

अब, मैं जिस दृष्टिकोण पर विचार कर रहा था, वह था - मैंने प्रलेखन को होस्ट किया docs.<tenant>.mycompany.comऔर अपने किरायेदार को इंगित docs.tenantcompany.comकरने के लिए CNAME DNS रिकॉर्ड सेट करने के लिए कहा docs.<tenant>.mycompany.com।

मैं अपने किरायेदार के प्रमाण पत्र के साथ साइट को एसएसएल-सक्षम करना चाहता हूं। मैं यह समझना चाहता था कि अगर मेरी किरायेदार कंपनी के पास वाइल्डकार्ड एसएसएल प्रमाणपत्र है, तो क्या वह इस सेटअप के साथ काम करेगा या नया एसएसएल प्रमाणपत्र खरीदना होगा docs.tenantcompany.com?

— codematix
स्रोत

बस स्पष्ट करने के लिए, आपके पास * .mycompany.com के लिए एक वाइल्डकार्ड है?

— झिमन

@WildVelociraptor हाँ मेरे पास एक वाइल्डकार्ड SSL प्रमाणपत्र है*.mycompany.com

— कोडेमाटिक्स

@codematix किसी भी संदेह से बचने के लिए, वाइल्डकार्ड प्रमाणपत्र से *.example.com मेल नहीं खाएगा docs.tenantname.example.com ! वाइल्डकार्ड केवल एक 'उप-डोमेन' के लिए अच्छा है; उदाहरण के लिए, यह मेल खाएगा docs-tenantname.example.com । अमेज़ॅन का एस 3 इसका एक अच्छा उदाहरण है: *.s3.amazonaws.comएक अवधि के साथ एक बाल्टी तक पहुंचते समय प्रमाण पत्र विफल रहता है, जैसे कि www.example.com( जैसे होस्टनाम के साथ समाप्त होता है www.example.com.s3.amazonaws.com); S3 वेब होस्टिंग के लिए ऐसे बकेट नामों की आवश्यकता होती है।

— कैल्रॉन

ध्यान दें कि अपने स्वयं के सर्वर की ओर इशारा करते हुए cname का उपयोग करने का मतलब है कि आप किरायेदार द्वारा प्रदान किए गए प्रमाणपत्र की आवश्यकता से बच सकते हैं। कुछ प्रमाणपत्र प्रदाता ( letencrypt.org सहित ) https के माध्यम से डोमेन स्वामित्व को मान्य करने का समर्थन करते हैं। सुरक्षा सर्वोत्तम प्रथाओं के विषय के रूप में, यह दृष्टिकोण कहीं बेहतर है (पहले से ही सर्वरफॉल्ट . com/a/765957/4480 में चर्चा की गई है )। अपने किरायेदार को अपना प्रमाण पत्र प्रदान करने के लिए अनुमति देना ठीक है (हालांकि इसे स्वयं उत्पन्न करना किरायेदार पर आसान है), लेकिन उन्हें वाइल्ड-कार्ड प्रमाणपत्र नहीं देना चाहिए।

— ब्रायन

जवाबों:

प्रमाणपत्र नाम को उपयोगकर्ता द्वारा ब्राउज़र में दर्ज किए गए मिलान से मेल खाना चाहिए, न कि 'अंतिम' DNS रिकॉर्ड से। यदि उपयोगकर्ता प्रवेश करता है docs.tenantcompany.comतो आपके एसएसएल प्रमाणपत्र को कवर करना होगा।

यदि docs.tenantcompany.comकोई CNAME है foo.example.com, तो प्रमाणपत्र को कवर करने की आवश्यकता नहीं है foo.example.com, बस docs.tenantcompany.com।

— जेसन मार्टिन
स्रोत

जेसन का जवाब सही है। लेकिन यहां शब्दों को थोड़ा स्पष्ट करने के लिए, "DNS पुनर्निर्देशन" एक मिथ्या नाम का एक सा है। DNS में CNAME रिकॉर्ड (उर्फ उपनाम) है जो एक नाम है जो दूसरे नाम की ओर इशारा करता है। लेकिन यह रीडायरेक्ट नहीं है। नाम से आईपी तक का अनुवाद सभी पृष्ठभूमि में होता है और आपका ब्राउज़र केवल प्रारंभिक नाम की परवाह करता है।

केवल एक चीज जो पुनर्निर्देश करती है वह है वेब सर्वर जहां सर्वर स्पष्ट रूप से आपके ब्राउज़र को कहीं और जाने के लिए कह रहा है। अपने वेब सर्वर तो था वास्तव में अन्य नाम से एक रीडायरेक्ट कर रही है, आप चाहते हैं वास्तव में दोनों के नाम के लिए प्रमाणपत्र की जरूरत है क्योंकि आपका ब्राउज़र अंततः अलग से उन दोनों से कनेक्ट कर दिया जाएगा।

— रयान बोलगर
स्रोत

मुझे सही करने के लिए धन्यवाद। आप सही हैं, इसका पुनर्निर्देशन नहीं बल्कि CNAME उपनाम है।

— कोडमेक्सिक्स

मेरे क्लाइंट के पास Server Aडोमेन है example.com। मैंने उसके लिए एक वेबसाइट बनाई और साइट को बनाए रखा Server B। मेरे क्लाइंट ने अपने DNS को कॉन्फ़िगर किया A Recordजो dog.example.comमेरे सर्वर के आईपी पते की ओर इशारा करता है Server B। अब मेरे ग्राहक के लिए एसएसएल मिल रहा है dog.example.com। मेरा सवाल यह है कि क्या मेरे क्लाइंट को मुझे अंदर डालने के लिए एसएसएल सर्टिफिकेशन देना होगा Server B? या उसे बस इसमें लगाना है Server A? या हमें और क्या करना चाहिए? हम दोनों इस बारे में उलझन में हैं, धन्यवाद!

— user2875289

यदि A dog.example.comआपके सर्वर के IP पर सीधे अंक के लिए रिकॉर्ड करता है, तो हाँ। आपके सर्वर में उस नाम का प्रमाणपत्र और निजी कुंजी होनी चाहिए। आपके उदाहरण में सर्वर A अप्रासंगिक है।

— रयान बोल्गर

@RyanBolger हां, जैसा आपने कहा। मेरे मुवक्किल ने मेरे लिए एक प्रमाण पत्र लागू किया dog.example.comऔर मुझे प्रमाण पत्र और निजी कुंजी भेज दी। मैंने उन लोगों को अंदर रखा Server Bऔर उनका उपयोग करने के लिए Nginx को कॉन्फ़िगर किया। और सब कुछ अब ठीक काम करता है। धन्यवाद!

— user2875289

तकनीकीता के एक बिंदु पर सिर्फ एक नोट; चूंकि अब "ALIAS" रिकॉर्ड हैं, इसलिए मैं यह नहीं कहूंगा कि CNAME या तो उपनाम हैं?]

— Garet Claborn

मैं यह समझना चाहता था कि अगर मेरी किरायेदार कंपनी के पास वाइल्डकार्ड SSL प्रमाणपत्र है, तो क्या वह इस सेटअप के साथ काम करेगा या नए SSL प्रमाणपत्र को खरीदना होगा docs.tenantcompany.com?

संक्षिप्त उत्तर: नहीं। यदि आपकी किरायेदार कंपनी के नाम में वाइल्डकार्ड है *.tenantcompany.com, तो वह आपके सर्वर पर उस नाम से एक्सेस को कवर करने के लिए पर्याप्त है। आप यह करना चाहते हैं या नहीं एक और कहानी है।

नाम में एक प्रमाण पत्र docs.<tenant>.mycompany.com(जैसे एक प्रत्यक्ष प्रमाण पत्र, या एक वाइल्डकार्ड *.<tenant>.mycompany.com) बेकार है यदि उपयोग हमेशा docs.tenantcompany.comनाम के माध्यम से किया जाता है ।

लंबा जवाब

मान लीजिए आप https://docs.tenantcompany.comएक उचित ब्राउज़र में ब्राउज़ करते हैं । ब्राउज़र HTTP प्रोटोकॉल पर TLS चलाता है। यह विशेष रूप से दो चीजों की परवाह करता है; उस:

ब्राउज़र और ऑपरेटिंग सिस्टम का DNS सबसिस्टम एक उपयुक्त होस्ट का आईपी पता लौटाता है, जो स्थानीय नेटवर्क या इंटरनेट पर कहीं और एक उपयुक्त पोर्ट पर एक वेब सर्वर चला रहा है। HTTPS (सुरक्षित) ट्रैफ़िक के लिए, डिफ़ॉल्ट पोर्ट 443तब तक है जब तक अन्यथा URL में ओवरराइड नहीं किया जाता है।
जब टीएलएस हैंडशेक ब्राउज़र और रिमोट सर्वर के बीच होता है, तो सर्वर एक विश्वसनीय प्रमाण पत्र प्रस्तुत करता है जो उसे अनुरोधित पते ( docs.tenantcompany.com) पर TLS सेवा प्रदान करने की अनुमति देता है ।

डीएनएस

ब्राउज़र DNS को एक ब्लैक बॉक्स के रूप में देखता है। यह एक अनुकूलतम पूर्ण योग्य डोमेन नाम (FQDN) से उपयुक्त IP पते (v4 या v6) में मैपिंग के लिए पूछने के लिए एक उपयुक्त DNS लाइब्रेरी को कॉल करता है। यह परवाह नहीं करता है कि यह उस आईपी पते को कैसे प्राप्त करता है। यदि CNAMEमूल रिकॉर्ड और Aया AAAAरिकॉर्ड के बीच DNS में 20 उपनाम हैं , तो आईपी पता प्राप्त होने तक DNS रिज़ॉल्वर उनका अनुसरण करेगा।

टीएलएस

जब ब्राउज़र TLS हैंडशेक करता है , तो उसे यह सत्यापित करने की आवश्यकता होती है कि जिस सर्वर से वह संचार कर रहा है, वह अनुरोधित FQDN पर सुरक्षित वेबसाइट सेवा प्रदान करने के लिए अधिकृत है docs.tenantcompany.com:।

याद रखें: ब्राउज़र के बारे में परवाह नहीं है docs.<tenant>.mycompany.com- DNS रिसॉल्वर ने CNAMEरिकॉर्ड के माध्यम से अप्रत्यक्ष के सभी ज्ञान को दूर कर दिया है।

सर्वर पर सुरक्षित सत्रों की सेवा के लिए अधिकृत करने का हमारा तरीका docs.tenantcompany.comएक एसएसएल प्रमाणपत्र के माध्यम से है, जो एक प्राधिकरण द्वारा हस्ताक्षरित है, जिसके लिए ब्राउज़र के रूट प्रमाणपत्र स्टोर में पूर्व विश्वास स्थापित किया गया है। यह हमेशा क्लाइंट के लिए सर्वर के प्रमाणीकरण का सबसे मजबूत रूप नहीं है - केंद्रीकृत सीए मॉडल में बहुत कुछ गलत हो सकता है - लेकिन यह इस समय हमारे पास सबसे अच्छा है।

यहां दो और कैविएट हैं:

कुंजी साझा करना

कई वाणिज्यिक एसएसएल प्रमाणपत्र विक्रेता केवल एक हस्ताक्षर करने वाले अनुरोध पर हस्ताक्षर करेंगे, जो प्रभावी रूप से एक निजी कुंजी के लिए वाइल्डकार्ड प्रमाणपत्र को बांधता है। किरायेदार कंपनी अपने संगठन के बाहर इसे साझा करने में असहज हो सकती है, क्योंकि निजी कुंजी के कब्जे में कोई भी स्पष्ट रूप से किरायेदार कंपनी के अन्य सुरक्षित प्रणालियों के साथ संचार से समझौता कर सकता है।

कुछ विक्रेता एक ही प्रमाणपत्र के तहत कई प्रमाणपत्रों पर हस्ताक्षर करने के अनुरोध पर हस्ताक्षर करेंगे, जो एकल वाइल्डकार्ड प्रमाणपत्र को उनके बीच निजी कुंजी साझा किए बिना कई सर्वर और सिस्टम पर स्थापित करने की अनुमति देता है।

मुखौटा धारण कर लिया

यदि किरायेदार कंपनी आपको अपने वाइल्डकार्ड प्रमाणपत्र की एक प्रति (या तो निजी कुंजी साझा करके, या अपने स्वयं के सीएसआर पर हस्ताक्षर करके) प्रदान करती है, तो आप <anydomain>.tenantcompany.comएक महत्वपूर्ण सुरक्षा को तोड़ते हुए tenantcompany.comDNS नामस्थान में पहचाने गए सर्वर की अखंडता को सुनिश्चित कर सकते हैं । यह आपके और किरायेदार कंपनी दोनों के लिए एक खराब स्थिति हो सकती है, कानूनी / देयता के दृष्टिकोण से।

— लौकिक Ossifrage
स्रोत

विस्तृत उत्तर के लिए बहुत बहुत धन्यवाद। यह बहुत मददगार है और मुझे जो करने का प्रयास कर रहा है उसके नैतिक और कानूनी पहलुओं पर विचार करने में मदद की।

— २०:१