Warum funktioniert CNAME nicht wie erwartet?

655
Ritardi.Net

Ich habe einen CNAME-Eintrag eingerichtet, der über Amazon S3-Bucket umgeleitet werden soll. Es gibt jedoch etwas, das nicht so funktioniert, wie von CNAME angenommen (von mir natürlich). Ich gehe davon aus, eine fiktive Subdomain umzuleiten, beispielsweise s3.example.comden Amazon S3-Bucket mit demselben Namen .

Das Problem ist nun, dass example.comes kein SSL gibt, während Amazon Bucket dies tut. Was ich angenommen habe, sollte mit einer CNAME-Regel den Datenverkehr umleiten, bevor er meinen Webserver erreicht und das Vorhandensein eines Zertifikats überprüft. Beachten Sie, dass der DNS zu diesem Zweck auf meinen Domain-Provider und nicht auf meinen Hosting-Provider eingestellt ist.

Warum wird jemals nach SSL gesucht, wenn es eine CNAME-Regel gibt und es funktioniert? Wenn ich zum Beispiel das svon der URL entferne, wird die relative Datei im Bucket ohne Zertifikatwarnung geöffnet.

edit : der zurückgegebene Fehler ist anders, ich werde versuchen, ihn zu übersetzen und anzupassen:

s3.mydomain.com is using a not valid certificate. the certificate is  only valid for the following names: *.s3.eu-central-1.amazonaws.com,  *.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu- central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com,  *.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com

dann scheint es, dass er die CNAME-Regel liest und die richtige Domäne (amazon s3) nachschlägt. Dann stellt er dies meiner Domäne gegenüber und sieht einen anderen Namen. Er hört dann auf, bevor er umgeleitet wird. Aus diesem Grund sgibt es keinen Fehler, wenn ich das entferne . Jetzt würde ich versuchen zu installieren, lass uns verschlüsseln und sehen, ob ein Zertifikat helfen würde, aber meine Vermutung wird immer noch dazu führen, dass diese Check-Anzeige erneut ein ähnliches Ergebnis liefert.

0
Ihr Beitrag ist unklar, was Sie tun möchten (DNS ist ein öffentliches System - geben Sie uns echte Daten und wir können uns darum kümmern). Sie haben Recht, dass DNS und damit CNAME "Weiterleitungen" erfolgen, bevor Verbindungen hergestellt werden, sodass der Verkehr nicht zu Ihrem Server gelangen darf. Möglicherweise verfügen Sie über eine Hosts-Datei oder einen lokalen DNS-Server, die Hostnamen abrufen, die den erwarteten DNS-Prozess stören, oder möglicherweise ein falsches oder zwischengespeichertes DNS-Setup. davidgo vor 6 Jahren 0

2 Antworten auf die Frage

1
cas

Der CNAME in Ihrer DNS-Zone funktioniert wie erwartet, aber Browser überprüfen, ob das von der Remote-Website vorgelegte Zertifikat für die besuchte Domäne gültig ist.

Auf dem amazon s3-Server, auf dem Ihre Daten gespeichert sind, ist kein gültiges Zertifikat vorhanden oder vorhanden s3.mydomain.com, weshalb allen Besuchern die Zertifikatwarnung angezeigt wird.

Dies ist völlig normal und genau so, wie SSL-Zertifikate funktionieren sollen - anderenfalls könnte jede Site so tun, als sei sie eine andere SSL-verschlüsselte Site. Zertifikate werden sowohl zur Authentifizierung als auch zur Verschlüsselung verwendet, wobei die Identitätsüberprüfung beim Kauf des Zertifikats von der Zertifizierungsstelle (Certificate Authority, CA) durchgeführt wird. Wenn Sie beim Kauf des Zertifikats nicht derjenige sind, von dem Sie sagen, dass er es sein soll, sollte die Zertifizierungsstelle die Erstellung des Zertifikats ablehnen oder Ihnen ausstellen. Andernfalls werden sie von der vertrauenswürdigen Standardzertifizierungsstelle entfernt Liste mit Webbrowsern wie Firefox, Chromium, IE, Edge usw. verteilt

Die "normale" Methode, um einen eigenen https-Server für Ihre Domäne auszuführen, MIT einem von einer Zertifizierungsstelle signierten Zertifikat, das der Browser kennt und als vertrauenswürdig erachtet. Für private / intranetartige Webanwendungen können Sie Ihre eigene Zertifizierungsstelle ausführen und das Zertifikat der Zertifizierungsstelle an Ihre Benutzer verteilen. Für öffentliche Websites ist es am besten / einfachsten, ein Zertifikat von einer der bekannten Zertifizierungsstellen zu erwerben.

Der Anwendungscode auf Ihrem Server sollte dann die erforderlichen Daten von amazon abrufen und an den Benutzer zurückgeben, der niemals wissen muss, ob amazon involviert war.

Es gibt keinen Code auf meiner Website, es ist eine einfache WordPress-Website, auf der meine Dienste präsentiert werden. Die Subdomain `s3`, die ich verwende, ist nicht auf dem Host vorhanden. Es ist nur eine CNAME-Regel, die zu Amazon umgeleitet wird, da Es erlaubt mir, einen benutzerdefinierten Domänennamen zu verwenden. Ritardi.Net vor 6 Jahren 0
0
kicken

Ein CNAME ist keine Weiterleitung, es ist ein Alias. Was bedeutet, dass Sie einem DNS-Resolver mitteilen, dass Ihre s3.example.com-Adresse die gleichen DNS-Informationen wie die s3-Domäne von amazon verwenden soll.

Dies alles geschieht auf der DNS-Ebene, nicht auf der Browser-Ebene. Der Browser stellt weiterhin eine Verbindung zu s3.example.com her. Wenn er versucht, das SSL-Zertifikat zu überprüfen, erwartet er, ein Zertifikat zu finden, das dieser Domäne entspricht.

Ich bin nicht mit den Amazon-Diensten vertraut, aber Sie benötigen eine Möglichkeit, um ein gültiges Zertifikat für die Verwendung Ihrer benutzerdefinierten Domäne mit HTTPS vorzulegen. Wenn dies nicht möglich ist, müssen Sie entweder nur HTTP verwenden oder Ihre benutzerdefinierte Domäne nicht mehr verwenden.

vorerst habe ich http eingestellt, aber würde eine 301-Weiterleitung für diesen Zweck besser funktionieren? Ritardi.Net vor 6 Jahren 0
Eine 301- oder 302-Weiterleitung wäre besser, obwohl Sie noch ein Zertifikat für s3.example.com benötigen, wenn Sie vor der Weiterleitung https für die anfängliche URL verwenden möchten. Sie benötigen außerdem ein Server-Setup für s3.example.com, das die entsprechende Weiterleitung ausgibt. kicken vor 6 Jahren 0

Verwandte Probleme