服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么需要Azure的validationCNAMElogging?
Intereting Posts
安装导致Apache服务启动失败的mod_security Nginx | 所有子域webmmail。*。*到一个文档根目录 采取云(亚马逊aws)备份的策略 SMTP不在一台服务器上发送电子邮件,而是在另一台服务器上发送 Linux中硬件辅助磁盘encryption的状态 阿帕奇的404页面没有在IE中显示,但在Firefox的作​​品? nginx SSL终止与粘性负载平衡 MX优先服务器行为 我可以使用CloudFront从同一个域中提供WordPress博客,但使用不同的服务器吗? 我可以忽略一个特定目标IP的多播地址吗? 麻烦安装xhprof 如何closuresCourier-IMAP服务器中的SSLv3会影响旧的邮件用户代理? 使用PHP-FPM从MPM Worker切换到事件 rrddtool unknown_sec 7并且rrd文件中没有值 memcached php模块不能在EC2上编译

为什么需要Azure的validationCNAMElogging?

请参阅ie: 如何将CNAME设置为指向Azure

或azure门户内的文字:

管理自定义域名文本

为什么这首先是必要的? 为什么通过Alogging指出域名不能certificate我是域名的所有者?

我的意思是..你怎么能改变一个DNSlogging呢?

这个规则有什么违规行为?

如果您控制了计算机的DNS查找,或者能够注入主机logging,那么您可以为该机器欺骗一个Alogging,并将其指向Azure网站(实际上,没有任何事情可以阻止您为虚拟机执行此操作虽然)

通过让你创build一个cnamelogging,并独立validation(通过他们的内部/公共DNS系统),这意味着你有控制域名,而不是欺骗别人的域名。

为了certificate对域的控制,您需要在域上的DNSlogging中添加一些信息,以便识别您的Azure帐户。

这些信息可以embedded到CNAME指向的域名中。 从您的文章中省略的域的部分,我希望能够确定您的特定Azure帐户。

你实际上不需要保守这个名字的秘密。 毕竟,一旦将其放入DNSlogging中,它就会公开显示。

他们之所以不能这样做,是因为Alogging中没有足够的熵来达到同样的安全性。

这并不意味着CNAME是他们可以使用的唯一方法。 其他可以工作的方法包括:

  • TXTlogging
  • AAAA纪录
  • 多个Alogging

就个人而言,我认为在validation者随机生成的子域上的TXTlogging是最好的方法,因为它是最不具侵入性的。 但是这似乎不支持你的情况。

让我试着通过提供两种情况来回答你的问题。 在这两种情况下,您仍然需要validation您是所有者,这只是一个安全措施。

1) www.example.com没有被访问,没有在生产

2) www.example.com目前正在生产中,正在大量使用

1)如果您的域名正在设置或不在生产/被访问,您可以创build一个CNAMElogging,指向yoursite.azurewebsites.net 。 没有awverify.myhost.azurewebsites.net需要。

2)如果您的域名被大量使用并且正在被访问,并且您想要testing以查看Azure是否看到DNSlogging中的更改,则可以像创buildawverify一样创build一个名为“ awverify ”的子域,将其指向创build的子域awverify.myhost.azurewebsites.net 。 这不会影响您访问您的网站的当前用户访问www.example.com 。 一旦Azurevalidation它看到CNAME中的更改,就可以通知用户进行维护并更改Alogging。 如果您只是更改Alogging,则该网站可能会被视为最近8小时的离线。

所以要简单回答你的问题,你不需要使用awverify 。 只需更改CNAME即可。 此外,只需更改Alogging,就可以将来自yourdomain.com所有stream量redirect到yoursite.azurewebsites.net

希望这可以帮助。

1)我已经在Azure上设置了多个站点,并且它们在Alogging中都具有相同的IP地址。 我不知道AloggingIP地址是否也可以分配给另一个帐户,但也许这是一种可能性。 如果是这样,那么只需将域input到自己的Azure控制面板中,就可以高枕无忧地访问其他人的Azure网站。 这只是一个理论,我不知道这是否是可能的。

2)如上所述,CNAMElogging基本上是一个惰性logging。 它不redirectstream量。 当我迁移大型站点及其SSL证书时,能够声明拥有awsverify的所有权,configuration域和SSL证书,然后在Azure上testing所有代码是一件幸事。 几个星期后,我改变了Alogging上线。 重要的是,Alogging直到上线的那一刻才改变,在使用awsverifyvalidation域名所有权之后的几个星期。 所以,在我的情况下,这是有帮助的。

不是我同意这一点,但这是我从微软直接得到的答案。 简而言之,它会阻止某人将您所拥有的域添加到另一个Azure Web应用程序,但仅限于与您相同的数据中心。 所以基本上,有人必须尝试注册一个你拥有的域名,并且在同一个数据中心(Azure域名)中,这样才能有用。 从DNS的angular度来看,这是没有意义的,因为我可以添加www.microsoft.com并在我拥有的每个networking服务器上build立一个虚假的网页,但是如果我没有访问权限来更改DNSlogging,则意味着什么。 当然,我可以在stream氓接入点上使用stream氓DNS服务器来做到这一点,但在这种情况下,我需要一个Azurenetworking应用程序? 无论如何,我可以启动虚拟机并绕过限制。 这对我来说确实没有意义,而且无论什么时候添加一个新的网站,这真的只是一个烦恼。 现在需要几分钟的过程会依赖DNS,甚至可以将域添加到Web应用程序。 对于新域名,这通常是可以的,但是如果我有一个现有的域名,这是一个痛苦。 我必须创build其他DNSlogging,然后在将我的域添加到我的Web应用程序后删除它,然后修改我实际上想要更改的DNSlogging。 无论如何,这里是微软的回应,为什么:

考虑到这种情况,考虑到这种情况,如果允许某人在您的应用程序添加到您的应用程序之前将其添加到您的应用程序,则由于冲突,您将无法再次添加您的域,因为Azurenetworking应用程序共享相同的前端服务器在同一个数据中心内。 因此,在将其分配给Web应用程序之前,必须validation每个域/子域。 如果我们在虚拟机上托pipe网站,则不会有任何限制。