bindのドットワイルドカード(* -foo.example.com)以外

10

指示する方法はありませんようだbindその*-foo.example.com例に解決する必要がありますが。10.1.2.3、はに*-bar.example.com解決され10.2.3.4ます。回避策はありますか?いくつかの名前はできますか?外部プログラムで解決しますか?または私bindは例えばに変更する必要があります。PowerDNS

別のSSLワイルドカード証明書の購入を回避しようとしています。(などのワイルドカード証明書で*.example.comは、*パーツにドットを使用することはできません。)

両方のタイプのアドレスをその場で作成できる必要があるため、ゾーンファイルですべて*-fooまたは*-bar名前を指定することはできません。

domain-name-system  bind  wildcard-subdomain 
Tuomassalo
ソース
ドメインをその場でゾーンに追加する方法もありませんか?bindで使用される部分的なワイルドカードを見たことがありません。確かにそれは不可能だとは言えません。
David Houde 2013年
@DavidHoude:オンザフライで追加することはオプションではないようです。追加より前のクエリは無効な回答でネームサーバーを「汚染」するためです。これは非常にまれですが、解決が少し厄介な問題を引き起こします。(もちろん、時間は問題を解決します。)
tuomassalo 2013年
1
あなたを$GENERATE助けますか?
セラダ2013年
1
@DavidHoude-動的更新を使用できますが、元の投稿者が指摘したように、レコードが追加される前にキャッシュリゾルバーが否定応答をキャッシュした可能性があります。ネガティブキャッシングttlを非常に低い値に下げることができることを試して軽減するために、すべてのリゾルバーがttlを慎重に尊重するわけではなく、一部は実用的な最小値を課しているため、結果が苛立たしいほど変動する可能性があります。
マイケルマクナリー2013年
@Celada:*部分は任意の[a-z]文字列にすることができます(もちろん長さの制限があります)。だから、私の場合$GENERATEは役に立ちません。ヒントをありがとう-このページを見つけた他の人にとって便利になるかもしれません。
tuomassalo 2013年

回答:

11

これが機能しない理由は、RFC内で動作が定義されていないためです。使用しているソフトウェアの拡張機能として実装する必要があります。RFC4592は、ワイルドカードレコードの定義をかなりしっかりと固めています。

2.1.1。ワイルドカードドメイン名とアスタリスクラベル

「ワイルドカードドメイン名」は
、バイナリ形式の最初(つまり、左端または最下位)のラベルを付けることによって定義されます。

  0000 0001 0010 1010 (binary) = 0x01 0x2a (hexadecimal)

ここの用語ラベルに注意してください。ラベルは、ドットで区切られたエンティティです。ラベルにアスタリスク以外のものがある場合、それはワイルドカードではありません。

あなたはちょっとここで立ち往生しています。DNS内で作業するには、避けたいドットが必要です。その他はすべて、サーバーソフトウェアの拡張機能と実装固有のものです。

アンドリューB
ソース
うまく答えました。
マイケルマクナリー2013年
0

RFC 6125は、ネストされたサブドメインの一般的な証明書を持つことを防ぎます。 RFC 4592およびRFC 1034では、*-xxx.domain.comをDNSエントリとして使用できません。

だからあなたは2つの選択肢しかありません(自動化しようとするとうまくいきません):

  • サブドメインごとに証明書を作成します(代替案はありますが、プラットフォームによっては複雑になる場合があります)。
  • サブサービスごとに完全なDNSエントリを作成します(サブサブドメインにはなりません)。

ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.