AD FS Конфигуриране на доверие на доверяваща се страна

Имаме 1 WHM лиценз (екземпляр в AWS). Вътре в WHM създаваме един акаунт MYDOMAIN.EXAMPLE -това е ОСНОВНИЯ ДОМЕН-.

Вътре в DNS на MAINDOMAIN.EXAMPLE ние създаваме няколко примера за поддомейни CLIENT1.MYDOMAIN.EXAMPLE, CLIENT2.MYDOMAIN.EXAMPLE, CLIENT3.MYDOMAIN.EXAMPLE и тези сочат към различни екземпляри в други AWS инстанции с "A Record".

Общо имаме 7 екземпляра в AWS с различни IP адреси, така че имаме нещо подобно.

CLIENT1.MYDOMAIN.EXAMPLE - IP 192.0.2.1 CLIENT2.MYDOMAIN.EXAMPLE - IP 192.0.2.2 CLIENT3.MYDOMAIN.EXAMPLE - IP 192.0.2.3 CLIENT4.MYDOMAIN.EXAMPLE - IP 192.0.2.4 

и т.н.,

Всеки екземпляр има WebServer в nginx. Всеки трябва да има 1 сертификат ...

Как мога да направя това? Уайлдкард ще работи? Или трябва да купя различни сертификати за всеки поддомейн?

  • Редактирах вашето замъгляване, но запазих разликата MAINDOMAIN / MYDOMAIN, която не успях да разбера дали това е печатна грешка или какво искате да кажете, защото client1.mydomain.example не може да живее в maindomain.example zonefile, така че тук има нещо не ясно.

Смесвате две неща, които са напълно несвързани с въпроса, който задавате: каквато и DNS настройка да имате, накрая дадено име просто се преобразува в даден IP и след това уеб браузърите се свързват с този IP.

Сега, ако правите някакво TLS ръкостискане (HTTPS), браузърът ще очаква правилния сертификат от сървъра.

Ако управлявате множество имена (на множество сървъри или не, това не променя много последиците, в днешно време с SNI множество HTTPS виртуален хост на един IP вече не е проблем) зависи от вас да изберете как ще обработвате вашите сертификати:

  • или един сертификат за име (обикновено със съответния www. версия като Subject Alternative Name)
  • или един сертификат със списък на всички имена в раздела SAN; основният недостатък не е технически, но фактът, че хората ще видят всички различни имена в сертификата, дори ако те са напълно несвързани. Също така CA могат да разрешат до няколко стотици имена като SAN, така че това да не се мащабира безкрайно. Но имате само един сертификат, който да обработите и да запомните да подновите, докато в предишния случай ще трябва да имате добър календар, за да запомните подновяването на всички тях навреме (или просто сте автоматизирали подновяванията като в Нека шифроваме случай)
  • или, в конкретния случай на имена под същия корен, можете да опитате да използвате заместващ знак, но не мисля, че сте в такава настройка; заместващ знак ще работи за всичките ви имена по-горе, т.е. *.mydomain.example но това означава, че това е и URL адресът, който се вижда в адресната лента, което не съм сигурен, че искате.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?