SRV记录允许在与A / AAAA记录指示的主机不同的主机上托管特定域(通常为XMPP)的服务。但是,从我在文档中可以看到的内容来看,提供服务的主机必须仍然拥有一个证书来授权原始域名。
那么:是否有任何好的解决方案可以让我在不同主机上为同一个域运行安全的XMPP服务器和HTTP服务器?
例如,请考虑example.com的此区域:
@ 10800 IN A 0.0.0.0
_xmpp-client._tcp 10800 IN SRV 5 0 5222 xmpp.example.com.
_xmpp-server._tcp 10800 IN SRV 5 0 5269 xmpp.example.com.
xmpp 10800 IN A 0.0.0.1
0.0.0.1处的服务器必须具有对其进行身份验证的证书example.com,但只有0.0.0.0(作为example.com的A记录)可以从LetsEncrypt获取该证书。
我只是...在0.0.0.0上生成证书,然后每次通过网络传输吗?或者暂时将Web服务器设置为0.0.0.0以将/.well-known/acme-challenge/请求转发到0.0.0.1?这些都不是非常强大或安全。
SRV记录在https-everywhere世界中基本上无法使用吗?
答案 0 :(得分:1)
阿
LetsEncrypt支持不依赖A记录的其他挑战;特别是DNS挑战:https://tools.ietf.org/html/draft-ietf-acme-acme-01#section-7.5
这仅需要XMPP服务器访问DNS注册商的API,以允许其临时设置TXT记录。