我为同一个域购买了 server.com 域和 SSL 证书。我们在 AWS 上安装了两台不同的服务器,一个实例(一个 IP)一个是应用程序服务器,另一个是 xmpp 服务器。我们使用端口(server.com:port)访问 xmpp 服务器。我们能够为两台服务器使用一个 SSL 证书。现在随着服务器上点击次数的增加,我们决定将 xmpp 服务器保留在不同的 AWS 实例上。现在我们以 ip_address:port 访问 xmpp 服务器。我们不需要域来访问 xmpp 服务器。但是使用的证书不再有效。
我不是服务员。我们有什么办法可以处理吗?
【问题讨论】:
标签: ubuntu ssl openssl xmpp ssl-certificate
SSL 证书绑定到域,而不是服务器。理论上,任何数量的服务器都可以使用相同的证书,但只有通过正确的域访问服务器才有效。您将需要使用域而不是 IP 来访问这两个服务器。
如果是通配符证书,您可以将服务器放在子域,例如xmpp.server.com。
你可以试试XMPP service records。我不知道证书是针对 SRV 记录中的域还是针对原始域进行验证的。我猜它是针对 SRV 域的,这意味着这无济于事,但也许值得一试。
否则,您需要一种方法让单个 IP 继续处理这两种服务。您是否考虑过通过防火墙规则将 XMPP 端口从 Web 服务器转发到 XMPP 服务器?
注意:RFC 3920(XMPP 核心),第 5.1 节(TLS 的使用),规则 #8:
必须根据由 启动实体(例如,用户),而不是通过 域名系统;例如,如果用户指定主机名 “example.com”,但 DNS SRV[SRV] 查找返回“im.example.com”, 证书必须检查为“example.com”。
这似乎意味着 SRV 记录应该允许它工作。不过好像not all clients always follow this spec。
【讨论】: