Toon posts:

DNS validation bij SSL Certificaten

Pagina: 1
Acties:

Onderwerpen

Vraag


  • marcelvanzoggel
  • Registratie: September 2020
  • Laatst online: 03-09-2020
Ik heb (via AWS-route53) een DNS entry (CNAME) voor app.a.com die verwijst naar app.b.com.
Dat werkt, echter niet secure, dus ik regel een SSL-certificate voor app.a.com.

Ik heb geen zeggenschap/toegang tot de applicatieserver bij app.b.com, dus ik kies voor DNS-validatie tijdens aanvraag van certificaat.

Mijn CA_provider zegt dat ik een TXT record moet aanmaken tbv app.a.com met de door hun aangegeven validatie-key als value.

Route53 zegt dat kan ik niet, want er bestaat al een CNAME entry voor deze domeinnaam app.a.com.

Deze verwijderen, valideren en weer toevoegen is een workaround, echter bij renewals hebben mijn gebruikers dan mogelijk tijdelijk geen toegang.

Mijn vraag is aldus:
Kan ik op een andere manier de DNS entry regelen zodat deze los van TXT record op zelfde domainnaam altijd de forward blijft doen ?
Ik kan vermoedelijk niet naar een A record want die vereist een IP-adres, en de target app.b.com (externe dns naam van bedrijf b) daar zit vermoedelijk een cloudfront-portal (aws-dns naam van extern bedrijf b achter)

Alle reacties


  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 19:01
Volgens mij moet je app.a.com toevoegen aan het ceritificaat wat app.b.com opstuurt als alternative name.

  • marcelvanzoggel
  • Registratie: September 2020
  • Laatst online: 03-09-2020
We hebben een rare usecase, waarbij bedrijf b (welke b.com host en dus ook de applicatieserver van app.b.com runt) aan bedrijf a "het certificaat" opvraagt.
Pogingen om bedrijf b het certificaat voor app.a.com te laten aanvragen / regelen zijn vooralnog nogo.

Mijn vraag is dus:
Kan ik app.a.com laten (dns-) forwarden naar app.b.com op een of ander manier waarbij ik toch een DNS-type TXT record kan aanmaken voor dezelfde host app.a.com (tbv. de dns verificatie)

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 18:39
Het TXT record dien je doorgaans te plaatsen op _acme-challenge.app.a.com en niet op app.a.com.

Het gelijktijdig bestaan van een CNAME op app.a.com en een TXT op _acme-challenge.app.a.com is geen probleem.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • marcelvanzoggel
  • Registratie: September 2020
  • Laatst online: 03-09-2020
Dank !
ter info:
Blijkt een Digicert achter de schermen te zitten in mijn geval, dan moet het _dnsauth.app.a.com zijn !


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee