3

我正在使用 Amazon EC2 ELB 并遵循他们使用 CNAME 来引用 ELB 的公共 DNS 的建议:

$ nslookup qa.mydomain.com
Server:     192.168.1.1
Address:    192.168.1.1#53

Non-authoritative answer:
qa.mydomain.com canonical name = mydomain-20530xxxx.us-west-1.elb.amazonaws.com.
Name:   mydomain-20530xxxx.us-west-1.elb.amazonaws.com
Address: 50.18.xxx.yyy

我购买了通配符 SSL 证书来保护我的所有子域。所以证书是为*.mydomain.com. 但是,当我访问 时qa.mydomain.com,所有浏览器都在尖叫安全。当我尝试访问https://qa.mydomain.com时,Google Chrome 上的消息是:

Chrome 说:您试图访问 mydomain-20530xxxx.us-west-1.elb.amazonaws.com,但实际上您访问了一个自称为 *.mydomain.com 的服务器。这可能是由于服务器上的配置错误或更严重的原因造成的。

我是不是走错了路?CNAME 的使用本质上与 PKI/SSL 不兼容吗?我有哪些选择?

谢谢。

PS:这是dig对地址执行的报告:qa.mydomain.com。显然,为了安全起见,实际的域名和结果已被掩盖。

$ dig qa.mydomain.com

; <<>> DiG 9.8.1-P1 <<>> qa.mydomain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 961
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;qa.mydomain.com.       IN  A

;; ANSWER SECTION:
qa.mydomain.com.    1670    IN  CNAME   mydomain-205300xxxx.us-west-1.elb.amazonaws.com.
mydomain-205300xxxx.us-west-1.elb.amazonaws.com. 60 IN A 50.18.xxx.yyy

;; Query time: 105 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Aug  9 14:05:31 2012
;; MSG SIZE  rcvd: 121
4

1 回答 1

4

IP 地址解析来自 CNAME 还是 A DNS 条目对证书名称验证没有影响。

重要的是,您在 URL 中请求的名称与证书中的条目之一匹配。

简而言之,如果证书有 Subject Alternative Name 条目,其中之一必须与您请求的主机名匹配;如果没有 SAN DNS 条目,主题 DN 的公用名 (CN) 必须与主机名匹配。

于 2012-08-09T18:52:09.103 回答