SSL-сертификат для доменов, которые нам не принадлежат
У нас есть облачная мультиарендная система SaaS. AKA: платформа. Платформа предоставляет услуги нашим клиентам, позволяя их конечным пользователям выполнять определенную работу. В качестве примера представьте, что у нас есть служба ведения блогов, которую мы продаем компаниям, а затем они могут публиковать блоги и взаимодействовать с ними со своими пользователями.
На сегодняшний день, чтобы в некоторой степени добавить эту услугу в белый цвет и быть Чтобы сделать это безопасно, мы купили для каждого клиента домен и выпустили для него сертификат SSL (проверка домена на сертификате UCC). Например, если у нас есть клиент с именем «Corporate1», мы обычно покупаем домен с именем blogcorporate1.com и управляем им.
Мы хотим полностью обесцветить решение, что означает, что мы хотим обслуживать наших клиентов с blog.corporate1.com.
Есть ли способ сделать это?
Можно ли это сделать таким образом, чтобы мы могли быть полностью независимыми от клиента? Это означает, что если они просто перенаправляют на нашу службу, и мы меняем наш сервер на другой IP, тогда нам нужно, чтобы они указывали на новый IP.
Могут ли они делегировать управление субдоменом blog.corporate1.com нам и нам? Буду ли управлять зоной для этого поддомена, а также выпускать для него SSL-сертификат (также настраивать пересылку электронной почты и другие функции DNS, которые мы делаем)?
Здесь есть несколько вопросов, что не является хорошей практикой для SF. При этом, насколько я понимаю, у вас есть клиент, назовем его example.com , и вы хотите предоставить им службу блогов на blog.example.com , используя SSL. .
На них размещается DNS. Что, если IP-адрес нашего сервера изменится?
Они обновят свой DNS, чтобы объявить ваш новый IP-адрес, и все будет продолжать работать.
Могут ли они делегировать субдомен
blog.example.comнашим серверам имен?
Да, при условии, что у них есть некоторые подсказки по DNS и полуприличная инфраструктура DNS. Тогда вы можете запланировать изменения IP без привязки к клиенту.
Могу ли я получить сертификат SSL для
blog.example.com?
Если бы это было вообще возможно, это полностью отключило бы вся идея SSL. Некоторые провайдеры будут рассматривать управление службой HTTP на blog.example.com как доказательство того, что у вас есть право на сертификат SSL с этим CN (как указывает Лалокин в своем ответе , letsencrypt является одним из таких поставщиков), так что после настройки и работы http://blog.example.com вы можете получить сертификат от такого поставщика. Некоторым центрам сертификации требуется больше доказательств того, что вы имеете право использовать полное доменное имя (например, контроль над работающим почтовым сервером на blog.example.com ), и если (скажем) клиент захочет получить сертификат EV, все получит больше сложное довольно быстро.
В целом приемлемое решение здесь - создать CSR, передать его клиенту и сказать им , чтобы они подписали его любым провайдером, который им подходит. После того, как они предоставят вам подписанный сертификат, вы установите его, и появится SSL.
В зависимости от того, какой SSL-сертификат вы хотите использовать для этих доменов, вы можете запросить сертификат, подтвержденный доменом, который требует, чтобы вы контролировали только указанный sub.domain.tld.
Хорошим примером в наши дни будет давайте зашифровать. Пока имя хоста указывает на ваш сервер, вы можете запросить сертификат.
certbot-auto certonly --webroot -d blog.domain.tld -w /var/www/blog.domain.tld