我有以下问题:在设置Intranet Jabber / XMPP服务器后,我询问了服务器的SSL证书,这样人们可以使用有效的证书安全连接。
example.com的DNS被configuration为redirect
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. 问题是,当我尝试连接到XMPP客户端时,我得到了example.com和xmpp.example.net之间的主机名不匹配?
只要DNSredirect到另一个域,为什么客户端询问原始域上的证书?
详细信息:example.net是企业内部网使用的一个域,内部大部分内容都在这个域内。 显然,人们应该用他们的电子邮件地址和域名密码login。
我想如何解决这个问题? 我很确定,安全不会给我一个公共领域的根域证书。
我认为指向DNS将工作,但似乎没有。
任何解决方法?
是的,你需要一个example.com的证书,它对xmpp.example.net没有任何影响。 这是因为DNS被认为是不受信任的:将SRVlogging指向恶意服务器非常容易,攻击者可能拥有一个有效且可信的证书。
这个问题有一些build议的解决scheme(包括DANE和POSH),但是目前没有一个是客户支持的。 唯一的解决scheme是:1)让每个人都接受证书不匹配,2)使用xmpp.example.net作为您的XMPP域,或3)说服安全性,您需要example.com的证书。