【发布时间】:2018-01-15 18:24:50
【问题描述】:
SRV 记录允许在不同于 A/AAAA 记录指示的主机上托管特定域(通常是 XMPP)的服务。但是,从我在文档中可以看到,提供服务的主机仍然必须拥有授权原始域名的证书。
那么:有什么好的解决方案可以让我在不同的机器上为同一个域运行一个安全的 XMPP 服务器和一个 HTTP 服务器?
例如,考虑example.com 的这个区域:
@ 10800 IN A 0.0.0.0
_xmpp-client._tcp 10800 IN SRV 5 0 5222 xmpp.example.com.
_xmpp-server._tcp 10800 IN SRV 5 0 5269 xmpp.example.com.
xmpp 10800 IN A 0.0.0.1
位于 0.0.0.1 的服务器必须有一个证书来验证名称 example.com,但只有 0.0.0.0(作为 example.com 的 A 记录)可以从 LetsEncrypt 获取该证书。
我是否只是...在 0.0.0.0 上生成证书,然后每次都通过网络传输?或者临时设置 0.0.0.0 上的 web 服务器将/.well-known/acme-challenge/ 请求转发到 0.0.0.1?这些似乎都不是很健壮或安全。
SRV 记录在 https-everywhere 世界中是否基本上无法使用?
【问题讨论】:
-
确实,浏览器不会处理 SRV 记录。