SSL-шифрование с перенаправлением CNAME
Вот моя текущая архитектура: у меня есть простой сайт, размещенный в облаке, который должен обслуживаться моей компанией. Таким образом, mysite.com имеет переадресацию CNAME на 1234.cloud.com. Я понимаю, что для mysite.com необходимо создать сертификат SSL.
Вот мои вопросы:
а) как работает перенаправление CNAME при получении контента? разрешает ли DNS облачный IP-адрес и разрешает ли только одно HTTP-соединение с облаком, или HTTP-соединение отправляется на мой сервер, а затем ретранслируется в облако? какой сервер предоставляет сертификат SSL для mysite.com? Я считаю, что мне нужно настроить локальный сервер для предоставления сертификата SSL, потому что одного DNS недостаточно, но я не уверен в архитектуре.
б) как я могу гарантировать, что связь между моим сервером и облаком тоже зашифровано? мне нужно настроить SSL клиент / сервер между двумя серверами?
Мне кажется, ты немного путаешь термины. CNAME - это не редирект как таковой. Это просто тип записи в DNS, также известный как псевдоним DNS. Протокол DNS, в конечном счете, связан с сопоставлением имен с IP-адресами. Самым распространенным типом записи является запись типа "А", которая является односторонним сопоставлением имени с IP-адресом. Запись CNAME вместо этого является односторонним сопоставлением имени1 с именем2.
В вашем случае, запись CNAME говорит клиентам, запрашивающим IP "mysite.com" вместо этого запросить IP для "1234.cloud.com". Таким образом, клиент затем запрашивает IP для 1234.cloud.com, получает свой IP (10.10.10.10, например) и продолжает подключение. Все это делается в сетевом стеке клиента. Веб-браузер ничего не знает об этом обмене. Все, что он знает, это то, что в сетевом стеке написано "mysite.com", сопоставляется с "10.10.10.10".
Ваш "облачный" сервер - это тот, на котором будет размещен и сайт, и SSL сертификат (если только у вас нет балансировщика нагрузки перед "облачным" сервером). Никакие серверы вашей компании не задействованы, за исключением DNS-серверов, которые являются авторитетными для DNS-зоны вашей компании, mysite.com.
Единственным способом обеспечения шифрования связи между клиентами и вашим "облачным" сервером является отключение не-HTTPS-запросов на "облачном" сервере.
.Вы должны понимать, что разрешение DNS полностью отделено от любого диалога HTTPS. Ваша система выполнит DNS-запрос на получение IP-адреса от DNS-имени. CNAME - это просто псевдоним к другой записи в реестре DNS. Но в конце концов у вас есть IP-адрес. Вы также можете добавить некоторую запись в файл /etc/hosts.
После того, как ваш браузер имеет IP-адрес, он может подключиться к серверу, он инициирует SSL или TLS-сессию. Сервер посылает сертификат вашему браузеру, который проверяет его на соответствие запрашиваемому имени.
Обычно DNS указывает на облако, на сеть доставки контента. Затем CDN перезванивает вашему серверу для некэшированных элементов
.