В AWS я завершаю TLS на балансировщике нагрузки приложений. Я настроил подстановочный сертификат TLS с помощью диспетчера сертификатов AWS (ACM), например. *.example.com. У меня есть разрешение AWS Route 53 *.example.com, но мне не за что *.*.example.com так как мне это не нужно.
Я знаю, что вы не можете настроить подстановочные сертификаты для многоуровневых доменов, таких как *.*.example.com.
https://x.example.com все хорошо и отвечает действительным сертификатом. Я получаю ошибку сертификата с https://y.x.example.com, что имеет смысл. Мне не нужно обслуживать многоуровневые поддомены, такие как *.*.example.com.
Я хотел бы иметь возможность блокировать все многоуровневые доменные запросы, такие как https://y.x.example.com или просто нет разрешения Route 53. По сути, мне нужно правило, в котором говорится, что любой хост для https://*.*.example.com вернуть 404 или для хоста, который не будет разрешен.
В балансировщике нагрузки приложения у меня есть 2 прослушивателя, порт 80 и порт 443.
Я могу настроить правило для прослушивателя порта 80, которое отлично работает для http://x.y.example.com и я могу вернуть 404, когда я настраиваю то же правило для порта 443, оно не работает. Что, я думаю, имеет смысл, потому что браузер не может завершить рукопожатие TLS.
Если я заполню нслукап за x.example.com и yxexample.com Я получаю те же серверы имен, я не ожидал, что Route 53 решит yxexample.com.
Итак, я ищу ответ на один из двух вопросов:
- Как настроить балансировщик нагрузки AWS для блокировки всех подстановочных многоуровневых поддоменов на порту 443?
- Почему Route 53 разрешается
yxexample.com/ как остановить Route 53, разрешающий то же самое?
