3

私は Amazon EC2 ELB を使用しており、CNAME を使用して ELB のパブリック DNS を参照するという推奨に従っています。

$ nslookup qa.mydomain.com
Server:     192.168.1.1
Address:    192.168.1.1#53

Non-authoritative answer:
qa.mydomain.com canonical name = mydomain-20530xxxx.us-west-1.elb.amazonaws.com.
Name:   mydomain-20530xxxx.us-west-1.elb.amazonaws.com
Address: 50.18.xxx.yyy

すべてのサブドメインを保護するために、ワイルドカード SSL 証明書を購入しました。したがって、証明書は に対して発行されました*.mydomain.com。しかし、私が にアクセスするqa.mydomain.comと、すべてのブラウザがセキュリティを叫んでいます。https://qa.mydomain.comにアクセスしようとすると、Google Chrome に次のメッセージが表示されます。

Chrome のメッセージ: mydomain-20530xxxx.us-west-1.elb.amazonaws.com にアクセスしようとしましたが、実際には *.mydomain.com として識別されるサーバーに到達しました。これは、サーバーの設定ミスか、より深刻な問題が原因である可能性があります..

私はそれについて間違った方法で進んでいますか?CNAME の使用は、本質的に PKI/SSL と互換性がありませんか? 私のオプションは何ですか?

ありがとう。

PS: 以下はdig、アドレスで実行したレポートです: qa.mydomain.com。明らかに、実際のドメイン名と結果はセキュリティのためにマスクされています。

$ dig qa.mydomain.com

; <<>> DiG 9.8.1-P1 <<>> qa.mydomain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 961
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;qa.mydomain.com.       IN  A

;; ANSWER SECTION:
qa.mydomain.com.    1670    IN  CNAME   mydomain-205300xxxx.us-west-1.elb.amazonaws.com.
mydomain-205300xxxx.us-west-1.elb.amazonaws.com. 60 IN A 50.18.xxx.yyy

;; Query time: 105 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Aug  9 14:05:31 2012
;; MSG SIZE  rcvd: 121
4

1 に答える 1

4

IP アドレスの解決が CNAME から行われるか、A DNS エントリから行われるかは、証明書名の検証には影響しません。

重要なのは、URL で要求した名前が証明書のエントリの 1 つと一致することです。

つまり、証明書に Subject Alternative Name エントリがある場合、そのうちの 1 つが要求するホスト名と一致する必要があります。SAN DNS エントリがない場合、サブジェクト DN の共通名 (CN) はホスト名と一致する必要があります。

于 2012-08-09T18:52:09.103 に答える