Volevo capire se la mia azienda tenant ha un certificato SSL con caratteri jolly, funzionerà con questa configurazione o se è necessario acquistare un nuovo certificato SSL docs.tenantcompany.com
?
Risposta breve: No. Se la tua società tenant ha un carattere jolly nel nome *.tenantcompany.com
, è sufficiente installarlo sul tuo server per coprire gli accessi con quel nome. Se vuoi farlo o no è un'altra storia.
Un certificato nel nome docs.<tenant>.mycompany.com
(ad esempio un certificato diretto o un carattere jolly *.<tenant>.mycompany.com
) è inutile se l'accesso viene sempre effettuato tramite il docs.tenantcompany.com
nome.
Risposta più lunga
Supponi di navigare https://docs.tenantcompany.com
in un browser ragionevole. Il browser esegue TLS sul protocollo HTTP. Si preoccupa in particolare di due cose; quello:
il sottosistema DNS del browser e del sistema operativo restituisce l'indirizzo IP di un host adatto, che esegue un server Web su una porta adatta altrove sulla rete locale o su Internet. Per il traffico HTTPS (protetto), la porta predefinita è 443
se non diversamente sostituito nell'URL.
Quando l' handshake TLS avviene tra il browser e il server remoto, il server presenta un certificato attendibile che gli consente di fornire un servizio TLS all'indirizzo richiesto ( docs.tenantcompany.com
).
DNS
Il browser vede DNS come una scatola nera. Fa una chiamata a una libreria DNS adatta per chiedere una mappatura da un nome di dominio completo (FQDN) a un indirizzo IP adatto (v4 o v6). Non importa come ottiene quell'indirizzo IP. Se ci sono 20 CNAME
alias nel DNS tra il record originale e un A
o AAAA
record, il risolutore DNS li seguirà fino a ottenere un indirizzo IP.
TLS
Quando il browser esegue l' handshake TLS , ha bisogno di verificare che il server si sta comunicando con è autorizzato a fornire un servizio sito web sicuro sul nome di dominio completo richiesto: docs.tenantcompany.com
.
Ricorda: il browser non se ne preoccupa docs.<tenant>.mycompany.com
: il resolver DNS ha sottratto tutta la conoscenza della direzione indiretta tramite un CNAME
record.
Il nostro metodo per autorizzare il server a servire sessioni sicure docs.tenantcompany.com
è tramite un certificato SSL che è firmato da un'autorità per la quale è stata stabilita la fiducia precedente nell'archivio certificati radice del browser. Questa non è sempre la forma più forte di autenticazione da server a client - molti possono andare storti nel modello CA centralizzato - ma è la migliore che abbiamo al momento.
Ci sono altre due avvertenze qui:
Condivisione chiave
Molti fornitori commerciali di certificati SSL firmeranno solo una singola richiesta di firma, che vincola efficacemente il certificato jolly a una singola chiave privata. La società locataria potrebbe non essere a proprio agio nel condividerla al di fuori della propria organizzazione, in quanto chiunque sia in possesso della chiave privata può ovviamente compromettere la comunicazione con gli altri sistemi protetti dell'azienda locataria.
Alcuni fornitori firmeranno più richieste di firma del certificato con lo stesso certificato, il che consente di installare un singolo certificato jolly su più server e sistemi senza condividere la chiave privata tra di loro.
Il mascheramento
Se la società locataria fornisce una copia del proprio certificato jolly (condividendo la chiave privata o firmando il proprio CSR), è possibile mascherarsi come <anydomain>.tenantcompany.com
, abbattendo un'importante protezione che garantisce l'integrità dei server identificati nello tenantcompany.com
spazio dei nomi DNS. Questa potrebbe essere una cattiva posizione per te e per la società inquilina, da un punto di vista legale / di responsabilità.