que nomes para certificados TLS ao usar registros SRV

2

Quando estou usando um registro DNS SRV, que nome (s) eu coloco no certificado TLS? Por exemplo, se eu estiver configurando slapd em dois servidores (klas1 e klas2), e eu definir esses registros DNS (usando a notação de estilo de arquivo de zona de vinculação):

_ldap._tcp.example.com. IN  SRV 10 0 389 klas1.example.com.
_ldap._tcp.example.com. IN  SRV 20 0 389 klas2.example.com.
klas1.example.com.  A 192.168.0.1
klas2.example.com.  A 192.168.0.2

Espero que meus clientes sejam configurados para se conectarem a ldap: //example.com/. No entanto, quando estou gerando certificados TLS nos servidores, gero-os com o nome "example.com" ou os gero com o nome "klas1.example.com" ou preciso de ambos?

    
por Geoff Crompton 18.07.2017 / 23:42

2 respostas

2

O certificado deve corresponder ao nome do host, ou seja, o registro A correspondente para o servidor. Você pode ter klas1.example.com & klas2.example.com certificados ou certificado wildcard *.example.com compartilhado, mas example.com não corresponderá.

Os registros SRV não precisam de certificados, pois são usados apenas no nível de DNS para descoberta de serviços.

    
por 19.07.2017 / 06:22
1

você só precisa de suas entradas de host (registros A), registros de serviços são usados para a descoberta e não a própria conexão.

    
por 19.07.2017 / 01:45