Ssl
連接到 XMPP 伺服器時主機名不匹配?
我有以下問題:在我設置了一個 Intranet Jabber/XMPP 伺服器後,我為我的伺服器請求了一個 SSL 證書,這樣人們就可以使用有效的證書安全地連接。
example.com 的 DNS 配置為重定向
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.
問題是當我嘗試連接 XMPP 客戶端時,我得到 example.com 和 xmpp.example.net 之間的主機名不匹配?!
只要 DNS 重定向到另一個域,為什麼客戶端會詢問原始域上的證書?
詳細資訊:example.net 是公司內部網使用的域,大部分內部的東西都在上面。顯然,人們應該使用他們的電子郵件地址和域密碼登錄。
我想如何解決這個問題?我很確定 Security 不會給我公共域的根域證書。
我認為指向 DNS 會起作用,但似乎沒有。
任何解決方法?
是的,您需要一個證書
example.com
,它是否有效xmpp.example.net
並不重要。這是因為 DNS 被認為是不受信任的:很容易偽造您的 SRV 記錄以指向惡意伺服器,攻擊者可能擁有有效且受信任的證書。有一些針對此問題的建議解決方案(包括 DANE 和 POSH),但目前客戶都不支持這些解決方案。唯一的解決方案是:1)讓每個人都接受證書不匹配,2)使用 xmpp.example.net 作為您的 XMPP 域或 3)說服安全您需要 example.com 的證書。