Назад | Перейти на главную страницу

SSL-шифрование с перенаправлением CNAME

Вот моя текущая архитектура: у меня есть простой сайт, размещенный в облаке, который должен обслуживаться моей компанией. Таким образом, mysite.com имеет переадресацию CNAME на 1234.cloud.com. Я понимаю, что для mysite.com необходимо создать сертификат SSL.

Вот мои вопросы:

а) как работает перенаправление CNAME при получении контента? разрешает ли DNS облачный IP-адрес и разрешает ли только одно HTTP-соединение с облаком, или HTTP-соединение отправляется на мой сервер, а затем ретранслируется в облако? какой сервер предоставляет сертификат SSL для mysite.com? Я считаю, что мне нужно настроить локальный сервер для предоставления сертификата SSL, потому что одного DNS недостаточно, но я не уверен в архитектуре.

б) как я могу обеспечить шифрование связи между моим сервером и облаком? мне нужно настроить SSL клиент / сервер между двумя серверами?

Я думаю, вы немного запутали термины. CNAME сам по себе не является перенаправлением. Это просто тип записи в DNS, также известный как псевдоним DNS. В конечном итоге протокол DNS предназначен для сопоставления имен с IP-адресами. Наиболее распространенный тип записи - это запись «A», которая представляет собой одностороннее отображение имени и IP. Вместо этого запись CNAME представляет собой одностороннее сопоставление Name1 с Name2.

В вашем случае запись CNAME сообщает клиентам, запрашивающим IP "mysite.com", вместо этого запрашивать IP для "1234.cloud.com". Затем клиент запрашивает IP для 1234.cloud.com, получает его IP (например, 10.10.10.10) и продолжает соединение. Все это делается в сетевом стеке клиента. Веб-браузер ничего не знает об этом обмене. Все, что он знает, - это то, что в сетевом стеке указано, что «mysite.com» соответствует «10.10.10.10».

Ваш облачный сервер - это тот, на котором будет размещаться и сайт, и сертификат SSL (если у вас нет балансировщика нагрузки перед облачным сервером). Серверы вашей компании не задействованы, за исключением DNS-серверов, которые являются полномочными для зоны DNS вашей компании, mysite.com.

Единственный способ обеспечить шифрование связи между клиентами и вашим облачным сервером - отключить запросы, отличные от HTTPS, на облачном сервере.

Вы должны понимать, что разрешение DNS полностью отделено от любого диалога HTTPS. Ваша система сделает DNS-запрос, чтобы получить IP-адрес из DNS-имени. CNAME - это просто псевдоним другой записи в реестре DNS. Но в конце концов у вас есть IP-адрес. Вы также можете добавить запись в файл / etc / hosts.

Как только у вашего браузера есть IP-адрес, он может подключиться к серверу, он инициирует сеанс SSL или TLS. Сервер отправляет сертификат вашему браузеру, который проверяет его соответствие запрошенному имени.

Обычно DNS указывает на облако, на сеть доставки контента. Затем CDN перезвонит вашему серверу для некэшированных элементов.