Как сервисы SaaS предоставляют SSL людям с “персонализированными” доменами?
Та опция не существует в IIS. Если бы у Вас был жесткого предела, то у Вас по существу была бы остановка сайта X днями в месяц, после того как они достигли предела.
Для выполнения этого необходимо было бы использовать внешний инструмент для записи пропускной способности в месяц (является ли это программой статистики или той, которая записывает пропускную способность в режиме реального времени на пути через). Затем, когда предел достигнут, используйте одни из API IIS для остановки пула приложений.
Ответ, приведенный выше, может быть немного датирован. Современные SaaS приложения, которые хотят обслуживать SSL для нескольких клиентских доменов, будут использовать SNI. SNI - это "Указание имени сервера" (RFC 6066; устаревшие RFC 4366, RFC 3546) - это расширение безопасности транспортного уровня, которое позволяет клиенту сообщить серверу имя узла, к которому он пытается подключиться.
Это гораздо более эффективно, чем старые способы работы с этим, например, UCC или, что еще хуже, 1 IP на сертификат. Именно поэтому традиционно обеспечение безопасности пользовательских доменов будет стоить клиенту дороже. Довольно часто встречается ситуация, когда платформа взимает плату в размере $X/mo за пользовательские домены в качестве дополнительной функции. Это связано с затратами на запуск пользовательских доменов.
Если вы хотите разработать что-то подобное сегодня, вы бы начали с SNI и таким образом обслуживали сертификаты. В зависимости от вашего стека, это может быть очень легко сделать (NodeJS) или очень сложно (традиционные приложения-прокси на основе apache/nginx). Обычно сложность заключается в том, чтобы принять входящий SNI запрос и сопоставить его с вашей базой данных или другой логикой приложения, чтобы убедиться, что вы обслуживаете правильный сертификат для этого запроса.
Как уже упоминалось, вам может повезти, если вы используете Node. Есть несколько замечательных библиотек, которые помогают в этом, если вы хотите обслуживать сертификаты, предоставляемые программой Let's Encrypt, и хотите динамически предоставлять сертификат, основанный на данных во входящем запросе. Например https://git.coolaj86.com/coolaj86/greenlock.js - это библиотека, которая поможет вам с некоторыми из них.
Наконец, если вы ищете решение от стороннего производителя, есть https://clearalias.com, которое, по сути, позволяет вам обойти трудности обслуживания SNI SSL сертификатов, предлагая его в качестве услуги, если вы не особо заинтересованы в управлении и поддержании собственного SNI уровня.
.Обычно они используют сертификаты UCC SSL, что позволяет им защищать несколько доменных имен с помощью Альтернативные имена субъектов. Вы можете повторно выпустить сертификат с обновленным списком защищаемых им доменов, поэтому вы не ограничены только доменами, которые вы защищаете при первом создании сертификата.
Некоторые поставщики предлагают продукты, специально предназначенные для этого, например Globalsign: https://www.globalsign.com/cloud/ , который используется Cloudflare.
Как поставщик, вы могли бы просто создать один сертификат SSL для каждого вашего клиента с доменами и поддоменами, которые им нужны, и выпустить его повторно, если клиент удалил определенный домен из своей учетной записи. Как поставщик SaaS, вы обычно также контролируете настройку сертификатов SSL, поэтому практически все можно автоматизировать.