Non-dot-wildcard (* -foo.example.com) cho liên kết?

10

Dường như không có cách nào để nói bindrằng *-foo.example.comnên giải quyết ví dụ. 10.1.2.3, trong khi *-bar.example.comgiải quyết 10.2.3.4. Có bất kỳ công việc xung quanh? Có thể một số tên ví dụ. giải quyết với một chương trình bên ngoài? Hoặc tôi nên thay đổi bindthành ví dụ. PowerDNS ?

Tôi đang cố gắng tránh mua một chứng chỉ ký tự SSL khác. (Với các ký tự đại diện, chẳng hạn như *.example.com, không thể cho phép các dấu chấm trong *phần này.)

Chỉ định tất cả *-foohoặc *-bartên trong tệp vùng không phải là một tùy chọn, vì tôi cần có thể tạo cả hai loại địa chỉ một cách nhanh chóng.

domain-name-system  bind  wildcard-subdomain 
tuomassalo
nguồn
Có cách nào để thêm các tên miền vào khu vực đang bay không? Tôi chưa bao giờ thấy các ký tự đại diện một phần được sử dụng với liên kết. Tôi không thể nói chắc chắn rằng điều đó là không thể.
David Houde
@DavidHoude: Tôi e rằng việc thêm nhanh không phải là một lựa chọn, vì bất kỳ truy vấn nào trước phần bổ sung sẽ "gây ô nhiễm" máy chủ tên với câu trả lời không hợp lệ. Điều đó tạo ra các vấn đề khá hiếm nhưng hơi khó giải quyết. (Tất nhiên thời gian sẽ khắc phục sự cố.)
tuomassalo
1
$GENERATEgiúp gì cho bạn không?
Celada
1
@DavidHoude - bạn có thể sử dụng cập nhật động, nhưng khi người đăng ban đầu chỉ ra bạn sau đó gặp phải tình huống trong đó bộ giải quyết bộ đệm có thể đã lưu vào bộ đệm phản hồi âm trước khi bản ghi được thêm vào. Để thử và giảm thiểu rằng bạn có thể hạ thấp ttl bộ đệm âm xuống giá trị rất thấp nhưng không phải mọi trình phân giải đều tôn vinh ttls một cách nghiêm túc và một số áp đặt mức tối thiểu thực tế để kết quả có thể thay đổi một cách bực bội.
Michael McNally
@Celada: *phần có thể là bất kỳ [a-z]chuỗi nào (tất nhiên là có giới hạn độ dài). Vì vậy, trong trường hợp của tôi $GENERATEkhông giúp đỡ. Cảm ơn về mẹo này - có thể trở nên tiện dụng cho người khác tìm thấy trang này.
tuomassalo

Câu trả lời:

11

Lý do tại sao nó không hoạt động là vì nó không được xác định hành vi trong RFC. Nó phải được triển khai như một phần mở rộng của phần mềm bạn đang sử dụng. RFC4592 xi măng định nghĩa của bản ghi ký tự đại diện khá chắc chắn:

2.1.1. Tên miền Wildcard và Nhãn Asterisk

"Tên miền ký tự đại diện" được xác định bằng nhãn ban đầu (nghĩa là ngoài
cùng hoặc ít quan trọng nhất), ở định dạng nhị phân:

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

Lưu ý nhãn hạn ở đây. Một nhãn là thực thể tách biệt dấu chấm. Nếu bạn có bất cứ thứ gì ngoài dấu hoa thị trong nhãn, đó không phải là ký tự đại diện.

Bạn đang bị mắc kẹt ở đây. Hoạt động trong DNS, bạn cần dấu chấm mà bạn đang cố tránh. Mọi thứ khác là phần mở rộng cho phần mềm máy chủ và triển khai cụ thể.

Andrew B
nguồn
Trả lời một cách nghiêm túc.
Michael McNally
0

RFC 6125 ngăn không có chứng chỉ chung cho các tên miền phụ lồng nhau. RFC 4592RFC 1034 ngăn không có * -xxx.domain.com làm mục nhập DNS.

Vì vậy, bạn chỉ có hai lựa chọn thay thế (không tốt khi cố gắng tự động hóa):

  • Tạo chứng chỉ cho mỗi tên miền phụ (có những lựa chọn thay thế miễn phí nhưng có thể phức tạp tùy thuộc vào nền tảng của bạn).
  • Tạo một mục nhập DNS đầy đủ cho mỗi dịch vụ phụ (sẽ không phải là tên miền phụ).
Mười
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.