各ユーザーのサブドメインとワイルドカードSSL証明書を持つサイトがあります
問題は、誰かがuser1.theirsite.com-> user1.mysite.comなどのcnameレコードを設定し、それでもhttpsを使用できるかどうかです。
接続を保護するためにサーバーにSSL証明書をインストールすると機能しますか?
ありがとう
各ユーザーのサブドメインとワイルドカードSSL証明書を持つサイトがあります
問題は、誰かがuser1.theirsite.com-> user1.mysite.comなどのcnameレコードを設定し、それでもhttpsを使用できるかどうかです。
接続を保護するためにサーバーにSSL証明書をインストールすると機能しますか?
ありがとう
これが機能するための最良の方法は、SSL証明書にX.509証明書の拡張機能として「エイリアス」を含めるように手配することです。Subject Alternate Name
これは、一部のCDNhttps
がクライアントのサイトをホストするときに使用するアプローチです。1つのサーバーでホストされている既知のサイト名をすべて1つの大きなSSL証明書に入れ、クライアントはCNAMEを使用してドメインを適切なCDNサーバーにポイントします。 。
ホスト名と証明書の検証(実際には、SSLが使用されていることの確認)は、クライアントの責任です。
ホスト名の検証は、RFC 2818で指定されているように、クライアントがURLで要求するホスト名に基づいてクライアントによって実行されます。ホスト名のDNS解決がCNAMEエントリに基づいているか、それとも他の何かに基づいているかは関係ありません。
ユーザーがhttps://user1.theirsite.com/
ブラウザに入力している場合、ターゲットサイトの証明書はに対して有効である必要がありますuser1.theirsite.com
。
user1.theirsite.com
とは異なる独自のサーバーがある場合、user1.mysite.com
DNSCNAMEエントリは意味がありません。2つのホストが事実上別個であると仮定すると、それらは独自の有効な証明書をuser1.theirsite.com
持ち、へのリダイレクトを行うことができますhttps://user1.theirsite.com/
。リダイレクトはアドレスバーにも表示されます。
user1.theirsite.com
からへのCNAMEが本当に必要な場合はuser1.mysite.com
、サーバー名表示を使用して、サイトでもホストできるように、証明書と秘密鍵を提供できる可能性があります(同じポート、もちろん同じIPアドレスを使用していると仮定します)。 'CNAMEを使用しています)。これは、SNIをサポートするクライアントで機能します。ただし、秘密鍵を提供することには一定のリスクがあります(これは一般的には推奨されません)。
以下が設定され、機能しています。
a.corp.com
->CNAME- b.corp2.com
>AのDNSエントリ1.2.3.4
のhaproxyは1.2.3.4
の証明書を提供しa.corp.com
、サイトはWebサーバーのバックエンドから正常にロードされます。
user1.theirsite.com
したがって、サーバー上で証明書が必要になり、それが機能します。