Carattere jolly non a punti (* -foo.example.com) per il bind?

10

Sembra che non ci sia modo di dire bindche *-foo.example.comdovrebbe risolvere ad es. 10.1.2.3, mentre si *-bar.example.comrisolve in 10.2.3.4. C'è qualche soluzione? Alcuni nomi possono es. risolvere con un programma esterno? O dovrei cambiare bindad es. PowerDNS ?

Sto cercando di evitare di acquistare un altro certificato jolly SSL. (Con i certificati jolly, ad esempio *.example.com, non è possibile consentire i punti nella *parte.)

Specificare tutti *-fooo i *-barnomi nel file di zona non è un'opzione, poiché devo essere in grado di creare entrambi i tipi di indirizzi al volo.

domain-name-system  bind  wildcard-subdomain 
tuomassalo
fonte
Non c'è modo di aggiungere al volo anche i domini alla zona? Non ho mai visto i caratteri jolly parziali utilizzati con bind. Non posso dire con certezza che non è possibile però.
David Houde,
@DavidHoude: temo che l'aggiunta al volo non sia un'opzione, poiché qualsiasi query che precede l'aggiunta "inquinerà" i server dei nomi con una risposta non valida. Ciò crea problemi abbastanza rari ma un po 'brutti da risolvere. (Naturalmente il tempo risolverà il problema.)
tuomassalo,
1
Ti $GENERATEaiuta?
Celada,
1
@DavidHoude: potresti utilizzare l'aggiornamento dinamico, ma come indicato dal poster originale, ti imbatti nella situazione in cui un risolutore della memorizzazione nella cache potrebbe aver memorizzato nella cache una risposta negativa prima dell'aggiunta del record. Per cercare di mitigare che è possibile ridurre la cache negativa ttl a un valore molto basso, ma non tutti i risolutori onorano scrupolosamente ttls e alcuni impongono un minimo pratico in modo che i risultati possano essere frustrantimente variabili.
Michael McNally,
@Celada: la *parte può essere qualsiasi [a-z]stringa (con limiti di lunghezza, ovviamente). Quindi, nel mio caso $GENERATEnon aiuta. Grazie per il suggerimento: potrebbe essere utile per qualcun altro che trova questa pagina.
tuomassalo,

Risposte:

11

Il motivo per cui non funziona è perché non è definito il comportamento all'interno degli RFC. Deve essere implementato come estensione del software in uso. RFC4592 cementa la definizione di un record jolly abbastanza saldamente:

2.1.1. Nome dominio jolly ed etichetta asterisco

Un "nome di dominio jolly" è definito avendo la sua
etichetta iniziale (cioè, più a sinistra o meno significativa), in formato binario:

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

Nota qui il termine etichetta . Un'etichetta è l'entità separata da punti. Se nell'etichetta è presente qualcosa di diverso dall'asterisco, non si tratta di un carattere jolly.

Sei un po 'bloccato qui. Lavorando all'interno del DNS, hai bisogno di quel punto che stai cercando di evitare. Tutto il resto sono estensioni del software server e specifiche dell'implementazione.

Andrew B
fonte
Rispose bene.
Michael McNally,
0

RFC 6125 impedisce di disporre di un certificato generico per sottodomini nidificati. RFC 4592 e RFC 1034 impediscono di avere * -xxx.domain.com come voce DNS.

Quindi hai solo due alternative (che non è carino quando si tenta di automatizzare):

  • Crea un certificato per sottodominio (ci sono alternative gratuite ma potrebbe essere complicato a seconda della tua piattaforma).
  • Crea una voce DNS completa per sotto-servizio (che non sarà sottodominio secondario).
Dieci
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.