使用 CNAME 重定向的 SSL 加密
這是我目前的架構:我有一個託管在雲中的簡單站點,需要由我的公司提供服務。因此,mysite.com 有一個 CNAME 重定向到 1234.cloud.com。我了解需要為 mysite.com 創建 SSL 證書。
以下是我的問題:
a) CNAME 重定向在獲取內容時如何工作?DNS 是否解析雲 IP 地址並只允許一個 HTTP 連接到雲,還是 HTTP 連接發送到我的伺服器然後中繼到雲?哪個伺服器提供 mysite.com 的 SSL 證書?我相信我需要配置一個本地伺服器來提供 SSL 證書,因為僅 DNS 是不夠的,但我不確定架構。
b) 我怎樣才能確保我的伺服器和雲之間的通信也是加密的?我需要在兩台伺服器之間配置客戶端/伺服器 SSL 嗎?
我認為您有點混淆了術語。CNAME 本身不是重定向。它只是 DNS 中的一種記錄類型,也稱為 DNS 別名。DNS 協議最終是關於將名稱映射到 IP 地址。最常見的記錄類型是“A”記錄,它是名稱到 IP 的單向映射。相反,CNAME 記錄是 Name1 到 Name2 的單向映射。
在您的情況下,CNAME 記錄告訴請求 IP“mysite.com”的客戶端改為請求“1234.cloud.com”的 IP。因此,客戶端然後請求 1234.cloud.com 的 IP,獲取其 IP(例如 10.10.10.10)並繼續連接。這一切都在客戶端的網路堆棧上完成。網路瀏覽器對這個交換一無所知。它只知道網路堆棧說“mysite.com”映射到“10.10.10.10”。
您的雲伺服器將同時託管站點和 SSL 證書(除非您在雲伺服器前面有負載均衡器)。除了對貴公司的 DNS 區域 mysite.com 具有權威性的 DNS 伺服器之外,不涉及貴公司的任何伺服器。
確保客戶端和雲伺服器之間的通信加密的唯一方法是禁用雲伺服器上的非 HTTPS 請求。