Non-dot-wildcard (* -foo.example.com) สำหรับการผูกหรือไม่


10

ดูเหมือนว่าไม่มีวิธีที่จะบอกได้bindว่า*-foo.example.comควรแก้ไขเช่น 10.1.2.3ในขณะที่มีมติให้*-bar.example.com 10.2.3.4มีวิธีแก้ปัญหาหรือไม่? บางชื่อได้เช่น แก้ปัญหาด้วยโปรแกรมภายนอก? หรือฉันควรเปลี่ยนbindเป็นเช่น PowerDNS ?

ฉันพยายามหลีกเลี่ยงการซื้อใบรับรองไวลด์การ์ด SSL อีกใบ (ด้วยสัญลักษณ์แทนเช่น*.example.comไม่สามารถอนุญาตจุดใน*ส่วน)

การระบุชื่อ*-fooหรือ*-barชื่อทั้งหมดในไฟล์โซนไม่ใช่ตัวเลือกเนื่องจากฉันต้องสามารถสร้างที่อยู่ทั้งสองประเภทได้ทันที


ไม่มีวิธีเพิ่มโดเมนในโซนทันทีหรือไม่ ฉันไม่เคยเห็นอักขระตัวแทนบางส่วนที่ใช้กับการผูก ฉันไม่สามารถพูดได้อย่างแน่นอนว่ามันเป็นไปไม่ได้
David Houde

@DavidHoude: ฉันเกรงว่าการเพิ่มได้ทันทีไม่ใช่ตัวเลือกเนื่องจากการสืบค้นใด ๆ ที่มีการเพิ่มไว้ก่อนหน้านี้จะทำให้เซิร์ฟเวอร์ชื่อ "สร้างมลพิษ" ด้วยคำตอบที่ไม่ถูกต้อง ที่สร้างปัญหาที่ค่อนข้างหายาก แต่น่ารังเกียจเล็กน้อยที่จะแก้ไข (ของหลักสูตรจะแก้ไขปัญหาได้.)
tuomassalo

1
ไม่$GENERATEช่วยคุณได้อย่างไร
Celada

1
@DavidHoude - คุณสามารถใช้การอัปเดตแบบไดนามิก แต่เมื่อผู้โพสต์ดั้งเดิมชี้ให้เห็นคุณจะพบกับสถานการณ์ที่ตัวแก้ไขแคชอาจแคชการตอบสนองเชิงลบก่อนที่จะเพิ่มเรคคอร์ด หากต้องการลองและลดขนาดที่คุณสามารถลดค่าแคชลบ ttl ให้เป็นค่าที่ต่ำมาก แต่ไม่ใช่ตัวแก้ปัญหาทุกตัวที่ได้รับเกียรติอย่างละเอียดและบางส่วนกำหนดขั้นต่ำในทางปฏิบัติเพื่อผลลัพธ์อาจเป็นตัวแปรที่น่าหงุดหงิด
Michael McNally

@ Celada: *ส่วนสามารถเป็น[a-z]สตริงใด ๆ(มีข้อจำกัดความยาวแน่นอน) ดังนั้นในกรณีของฉัน$GENERATEไม่ได้ช่วย ขอบคุณสำหรับเคล็ดลับ - อาจเป็นประโยชน์กับคนอื่นที่พบหน้านี้
tuomassalo

คำตอบ:


11

เหตุผลที่มันไม่ทำงานเป็นเพราะมันไม่ได้กำหนดพฤติกรรมภายใน RFCs จะต้องมีการใช้งานเป็นส่วนเสริมของซอฟต์แวร์ที่คุณใช้ RFC4592 ยกเลิกนิยามของสัญลักษณ์ตัวแทนค่อนข้างแน่นหนา:

2.1.1 ชื่อโดเมนตัวแทนและเครื่องหมายดอกจัน

"wildcard domain name" ถูกกำหนดโดยให้มี
ป้ายกำกับเริ่มต้น (เช่นซ้ายสุดหรือสำคัญน้อยที่สุด) ในรูปแบบไบนารี:

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

หมายเหตุ: คำว่าป้ายที่นี่ เลเบลคือเอนทิตีที่คั่นด้วยจุด หากคุณมีเครื่องหมายดอกจันอื่นนอกเหนือจากป้ายกำกับนั่นไม่ใช่สัญลักษณ์แทน

คุณติดอยู่ที่นี่ ทำงานภายใน DNS คุณต้องมีจุดที่คุณพยายามหลีกเลี่ยง ทุกอย่างคือส่วนขยายของซอฟต์แวร์เซิร์ฟเวอร์และการใช้งานเฉพาะ


ตอบอย่างดี
Michael McNally

0

RFC 6125ป้องกันการมีใบรับรองทั่วไปสำหรับโดเมนย่อยที่ซ้อนกัน RFC 4592และRFC 1034ป้องกันไม่ให้มี * -xxx.domain.com เป็นรายการ DNS

ดังนั้นคุณมีทางเลือกสองทางเท่านั้น (ซึ่งไม่ดีเมื่อพยายามทำให้เป็นแบบอัตโนมัติ):

  • สร้างใบรับรองต่อโดเมนย่อย (มีทางเลือกฟรี แต่อาจซับซ้อนขึ้นอยู่กับแพลตฟอร์มของคุณ)
  • สร้างรายการ DNS แบบเต็มต่อบริการย่อย (ซึ่งจะไม่เป็นโดเมนย่อย)
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.