SSL-сертификат для домена с перенаправлением CNAME
У меня есть веб-сервис, который предоставляет простую функциональность конструктора сайта со страницей оплаты.
Пользователь может выбрать домен для покупки, например user.com , выберите какой-нибудь шаблон и укажите этот домен с CNAME на мой веб-сервис, например site.constructor.com .
А сайтов таких пользователей много, и все они указывают на site.constructor.com .
Сайт веб-сервиса покрыт подстановочным сертификатом * .constructor.com, размещенный на AWS, и сертификат SSL применяется к обработчику HTTPS балансировщика нагрузки.
Теперь, когда кто-либо переходит на https://user.com , он получает соответствующий контент с sites.constructor.com , но перед этим он получает окно с предупреждением о том, что user.com не содержит правильный сертификат (поскольку используется сертификат хоста).
И теперь мне нужно сделать https: // user.com защищен, но не могу понять, как это сделать.
У меня нет конфигурации балансировщика нагрузки или конфигурации веб-службы для этого домена. единственный вход - CNAME и запись БД с доменным именем пользователя. Поэтому я даже не могу просто купить новый сертификат для домена пользователя и применить его.
Как лучше всего защитить домен CNAME?
UPD.1. пользователь ' s поток доступа к домену
1. Navigate _https://user.com_
there is only domain control panel with CNAME which points to the _site.constructor.com_
2. call to the AWS load balancer of _site.constructor.com_ with applied SSL (SSL is NOT for _user.com_)
3. access to the EC2, etc...
Где должен быть применен сертификат user.com ? возможно ли в этом случае использовать самогенерируемый сертификат для user.com ?
Наличие записи CNAME , а не записи прямого адреса ( A / AAAA ) не имеет значения. Проверка сертификата основана на имени хоста в URL-адресе местоположения.
Для перехода на https://example.com/ для работы вам потребуется сертификат, действительный для example.com . То есть сертификат, у которого либо example.com в качестве Субъекта CN (Общее имя), либо example.com в его SAN ] (Альтернативное имя субъекта) список.
В дополнение к другим ответам обратите внимание, что если ваш сервер обрабатывает SSL / TLS для многих разных доменов, вы будете необходимо либо иметь единый сертификат, покрывающий все доменов, либо настроить указание имени сервера (SNI) на сервере, чтобы он мог использовать разные сертификаты для разные домены. Клиент также должен поддерживать SNI, но все современные веб-браузеры поддерживают, хотя обратите внимание, что большинство браузеров в Windows XP этого не делают. (Теоретически существует третий вариант - иметь многосетевой сервер, использующий разные IP-адреса для каждого домена, но я думаю, что для вас это вряд ли выполнимо.)
В дополнение к Хокану Линдквисту, ответ относительно вашего обновления:
Где должен быть применен сертификат user.com?
На машине, которая завершает ваш HTTPS / TLS .
Можно ли в этом случае использовать самогенерируемый сертификат для user.com?
Конечно ...но их использование даст вашим посетителям предупреждения о сертификате (при условии, что сертификат CA не известен / не заслуживает доверия в их браузерах). Если вы хотите предотвратить это, вам необходимо получить сертификаты, подписанные известным и «доверенным» центром сертификации. (Если мы говорим о многих доменах, возможно, посмотрите Let's Encrypt : «Это бесплатно, автоматизировано и открыто».)
Вы должны перенаправить запрос прямо на свой субдомен. Это скрытое перенаправление, поэтому здесь нет действующего сертификата для запрошенного домена.