我为同一个域购买了server.com域名和SSL证书。我们在AWS上安装了两个不同的服务器一个实例(一个IP),一个是app服务器,另一个是xmpp服务器。我们使用port(server.com:port)访问xmpp服务器。我们能够为两台服务器使用一个SSL证书。现在,随着服务器上点击次数的增加,我们决定将xmpp服务器保留在不同的AWS实例上。现在我们以ip_address:port的身份访问xmpp服务器。我们不需要域来访问xmpp服务器。但使用的证书不再有效。
我不是服务员。有什么办法可以解决吗?
答案 0 :(得分:3)
SSL证书绑定到域,而不是服务器。从理论上讲,任意数量的服务器都可以使用相同的证书,但只有通过正确的域访问服务器才有效。您将需要使用域而不是IP来访问两个服务器。
如果是通配符证书,您可以将服务器放在xmpp.server.com等子域中。
您可以尝试XMPP service records。我不知道证书是否针对SRV记录中的域或原始域进行了验证。我猜这是反对SRV域名,这意味着这无济于事,但也许值得一试。
否则,您需要一种方法让单个IP继续处理这两种服务。您是否考虑过通过防火墙规则将XMPP端口从Web服务器转发到XMPP服务器?
注意:RFC 3920(XMPP核心),第5.1节(使用TLS),规则#8:
必须根据提供的主机名检查证书 发起实体(例如,用户),而不是通过网络解析的主机名 域名系统;例如,如果用户指定的主机名 “example.com”但DNS SRV [SRV]查找返回“im.example.com”,即 证书必须被检查为“example.com”。
这似乎意味着SRV记录应该允许它工作。看起来似乎not all clients always follow this spec。