我有以下问题:在我设置了一个 Intranet Jabber/XMPP 服务器后,我为我的服务器请求了一个 SSL 证书,这样人们就可以使用有效的证书安全地连接。
example.com 的 DNS 配置为重定向
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.
问题是当我尝试连接 XMPP 客户端时,我得到 example.com 和 xmpp.example.net 之间的主机名不匹配?!
只要 DNS 重定向到另一个域,为什么客户端会询问原始域上的证书?
详细信息:example.net 是公司内部网使用的域,大部分内部的东西都在上面。显然,人们应该使用他们的电子邮件地址和域密码登录。
我想如何解决这个问题?我很确定 Security 不会给我公共域的根域证书。
我认为指向 DNS 会起作用,但似乎没有。
任何解决方法?
是的,您需要一个证书
example.com,它是否有效xmpp.example.net并不重要。这是因为 DNS 被认为是不受信任的:很容易伪造您的 SRV 记录以指向恶意服务器,攻击者可能拥有有效且受信任的证书。有一些针对此问题的建议解决方案(包括 DANE 和 POSH),但目前客户都不支持这些解决方案。唯一的解决方案是:1)让每个人都接受证书不匹配,2)使用 xmpp.example.net 作为您的 XMPP 域或 3)说服安全您需要 example.com 的证书。