바인드에 대한 도트가 아닌 와일드 카드 (* -foo.example.com)?

10

알 수있는 방법이 없다 보인다 bind*-foo.example.com예에 해결해야한다가. 10.1.2.3반면 *-bar.example.com결의가 10.2.3.4. 해결 방법이 있습니까? 예를 들어 어떤 이름이있을 수 있습니까? 외부 프로그램으로 해결 하시겠습니까? 아니면 bind예를 들어 변경해야합니다 . PowerDNS ?

다른 SSL 와일드 카드 인증서를 구입하지 않으려 고합니다. (와 같은 와일드 카드 인증서 *.example.com를 사용하면 *부품에 점을 허용 할 수 없습니다 .)

영역 파일에 모두 *-foo또는 *-bar이름을 지정 하는 것은 옵션이 아닙니다. 두 가지 유형의 주소를 즉석에서 생성 할 수 있어야하기 때문입니다.

domain-name-system  bind  wildcard-subdomain 
투 마살로
소스
도메인을 즉시 영역에 추가 할 방법이 없습니까? bind와 함께 사용되는 부분 와일드 카드를 본 적이 없습니다. 나는 그것이 불가능하다는 것을 확실히 말할 수는 없습니다.
David Houde
@DavidHoude : 추가 이전의 모든 쿼리가 잘못된 응답으로 이름 서버를 "폴링 (pollute)"하기 때문에 즉시 추가하는 것이 옵션이 아닌 것 같습니다. 그것은 매우 드물지만 해결하기에는 다소 불쾌한 문제를 만듭니다. (물론 시간은 문제를 해결할 것입니다.)
tuomassalo
1
당신을 $GENERATE도와 줍니까 ?
Celada
1
@DavidHoude-동적 업데이트를 사용할 수 있지만 원래 포스터가 지적한 것처럼 캐시 리졸버가 레코드가 추가되기 전에 부정적인 응답을 캐시했을 수 있습니다. 네거티브 캐싱 ttl을 매우 낮은 값으로 낮출 수는 있지만 모든 리졸버가 ttl을 엄격하게 존중하는 것은 아니며 일부는 실질적인 최소값을 부과하므로 결과가 매우 다양 할 수 있습니다.
Michael McNally
@Celada : *부분은 [a-z]길이에 제한 이없는 문자열 일 수 있습니다 . 따라서 제 경우 $GENERATE에는 도움이되지 않습니다. 팁을 주셔서 감사합니다-이 페이지를 찾는 다른 사람에게 유용 할 수 있습니다.
tuomassalo

답변:

11

작동하지 않는 이유는 RFC 내에서 동작이 정의되어 있지 않기 때문입니다. 사용중인 소프트웨어의 확장으로 구현해야합니다. RFC4592 는 와일드 카드 레코드의 정의를 다음과 같이 확고하게 정리 합니다.

2.1.1. 와일드 카드 도메인 이름 및 별표 레이블

"와일드 카드 도메인 이름"은 초기 (즉,
가장 왼쪽 또는 가장 중요하지 않은) 레이블을 이진 형식으로 지정하여 정의됩니다.

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

여기에서 레이블 이라는 용어를 참고 하십시오. 레이블은 점으로 구분 된 엔티티입니다. 레이블에 별표 이외의 것이 있으면 와일드 카드가 아닙니다.

당신은 여기에 붙어 있습니다. DNS 내에서 작업하려면 피하려는 점이 필요합니다. 그 밖의 모든 것은 서버 소프트웨어 및 구현에 대한 확장입니다.

앤드류 B
소스
잘 대답했다.
Michael McNally
0

RFC 6125 는 중첩 된 하위 도메인에 대한 일반 인증서가 없도록합니다. RFC 4592RFC 1034 는 * -xxx.domain.com을 DNS 항목으로 사용하지 못하게합니다.

따라서 두 가지 대안 만 있습니다 (자동화하려고 할 때 좋지 않습니다).

  • 하위 도메인 당 인증서를 만듭니다 (무료 대안이 있지만 플랫폼에 따라 복잡 할 수 있음).
  • 하위 서비스별로 하위 DNS가 아닌 전체 DNS 항목을 만듭니다.

소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.