Nom d'hôte incompatible avec le server XMPP?

J'ai le problème suivant: après avoir configuré un server Jabber / XMPP intranet, j'ai demandé un certificate SSL pour mon server, afin que les personnes puissent se connecter en toute security à l'aide d'un certificate valide.

Le DNS d'exemple.com est configuré pour redirect

root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. 

Le problème est que lorsque j'essaie de me connecter avec le client XMPP, je reçois un défaut de nom d'hôte entre example.com et xmpp.example.net?!

Pendant longtime, le DNS redirige vers un autre domaine, pourquoi le client request-t-il un certificate sur un domaine d'origine?

Détails: l'exemple.net est un domaine utilisé par l'intranet d'entreprise, la plupart des éléments internes sont là. Évidemment, les personnes sont censées se connecter avec leur adresse e-mail et leur mot de passe de domaine.

Comment puis-je résoudre ce problème? Je suis certain que la security ne me donnerait pas un certificate de domaine racine pour le domaine public.

J'ai supposé que le pointage du DNS fonctionnerait, mais il semble que ce ne soit pas le cas.

Des solutions de contournement?

Oui, vous avez besoin d'un certificate pour example.com , il est valable pour xmpp.example.net pas grave. C'est parce que DNS est considéré comme non approuvé: il serait très facile de publier votre logging SRV pour signaler un server malicieux, pour lequel un attaquant peut avoir un certificate valide et approuvé.

Il existe des solutions proposées à ce problème (y compris DANE et POSH), mais aucune d'entre elles n'est actuellement prise en charge par les clients. Les seules solutions sont les suivantes: 1) faire accepter le non-concordance du certificate, 2) utiliser xmpp.example.net comme votre domaine XMPP ou 3) convaincre la security, vous avez besoin d'un certificate pour example.com.