AWS 내에서는 Application Load Balancer에서 TLS를 종료합니다. AWS의 ACM(인증서 관리자)을 사용하여 와일드카드 TLS 인증서를 구성했습니다. 예를 들어 *.example.com.AWS Route 53 해결 기능이 있지만 이것이 필요하지 않기 때문에 *.example.com아무것도 없습니다 .*.*.example.com
.*.*.example.com
https://x.example.com모두 양호하며 유효한 인증서로 응답합니다. 에 인증서 오류가 발생하는데 https://y.x.example.com이는 의미가 있습니다. 와 같은 다단계 하위 도메인을 제공할 필요가 없습니다 *.*.example.com.
https://y.x.example.comRoute 53 확인과 같은 모든 다중 레벨 도메인 요청을 차단하고 싶습니다 . 기본적으로 나는 https://*.*.example.com404를 반환하거나 호스트가 해결되지 않도록 하는 모든 호스트를 말하는 규칙을 원합니다 .
애플리케이션 로드 밸런서에는 2개의 리스너 포트 80과 포트 443이 있습니다.
제대로 작동하는 포트 80 수신기에 대한 규칙을 구성할 수 http://x.y.example.com있으며 404를 반환할 수 있습니다. 포트 443에 대해 동일한 규칙을 구성하면 작동하지 않습니다. 브라우저가 TLS 핸드셰이크를 완료할 수 없기 때문에 말이 되는 것 같습니다.
nslookupfor를 완료 x.example.com하고 y.x.example.com동일한 NameServer를 얻는 경우 Route 53이 y.x.example.com.
그래서 저는 다음 두 가지 질문 중 하나에 대한 답을 찾고 있습니다.
- 포트 443에서 모든 와일드카드 다중 레벨 하위 도메인을 차단하도록 AWS 로드 밸런서를 어떻게 구성합니까?
- Route 53이 해결되는 이유
y.x.example.com/Route 53 해결을 중지하는 방법은 동일합니까?
답변1
이것이 특히 HTTPS/TLS 사례에 관한 것이라면 의미 있는 방식으로 이것이 가능하지 않다고 봅니다.
클라이언트가 연결을 시도하는 이름에 대한 유효한 인증서가 없으면 구성에 관계없이 먼저 유효한 응답(예: 질문에 언급된 404 응답)을 보낼 수 있는 수단이 없습니다. 서버 측에서.
일반 HTTP의 경우, 요청된 것과 같은 작업을 수행하는 것이 가능할 수 있습니다.호스트 상태, 그러나 단일 레벨과 다중 레벨 사례를 구별하는 것이 실제로 가능한지 확실하지 않습니다. 어쨌든 요즘에는 일반 HTTP 사례가 그렇게 흥미로운지 잘 모르겠습니다.이것이 DNS에서 와일드카드가 작동하는 방식입니다. 트리의 기존 분기의 일부가 아닌 DNS 이름을 검색하면(하나 이상의 레이블이 누락되었는지 여부에 관계없이) 그 위의 와일드카드 레코드와 일치합니다. 가장 왼쪽 레이블인 경우에만 와일드카드로 작동한다는
점도 주목할 가치가 있습니다 . 와일드카드로 작동합니다. 와일드카드로 작동하지만 , 또는 은 DNS에서 와일드카드가 아닙니다. 나는 당신이 요구하는 "단일 수준" 기능(일반적으로 DNS 와일드카드 또는 구체적으로 Route53 사용)을 얻으면서 와일드카드를 사용하는 실용적인 방법이 있다고 생각하지 않습니다. 대신 실제로 필요한 특정 이름을 추가하거나(필요한 경우 동적으로) 일반적인 와일드카드 동작을 사용하는 것을 고려하세요.**.example.com*.foo.example.comfoo.*.example.comfoo*.example.com*foo.example.com
전반적으로, 가장 좋은 옵션은 DNS에서 와일드카드를 사용하지 않고 클라이언트가 원하지 않는 이름을 사용하여 ELB에 연결하는 문제가 발생하지 않는 것입니다.