Механизм приложения Google SSL и карта на example.com/api
Я собираюсь установить SSL для своего домена, теперь, конфигурация - это: - облачная машина Google, которая размещает веб-сайт (example.com), и веб-приложение (js, example.com/myapp) это общается с API, записанным на экземпляре механизма приложения Google - механизм приложения Google instnace, который размещает API (example.com/api)
То, что я хочу сделать, должно отобразить API на example.com/api и гарантировать, что коммуникация между приложением и API является https (я должен использовать тот же домен иначе, это не работает).
Вопрос теперь: как я могу сделать это? и в каком сертификате SSL я нуждаюсь?
Мои мысли:
- единственный доменный сертификат мог быть достаточно, веб-сайт, приложение и API находятся на том же домене в конце.
- Я могу использовать апачский прокси для отображения
/apiк экземпляру GAE API, (но я не уверен в этом). - Я могу получить wildecard сертификат SSL, связал API с
api.example.comи затем используйте апача для отображенияapi.example.comкому:example.com/api. Все еще уверенный в этом.
В конце, что я должен сделать?
Вам нужен только один сертификат домена, если на него будут ссылаться, как вы описали.
В зависимости от вашего приложения у вас может быть слушатель, который определит, как вы хотите его назвать. Если это простая ссылка на страницу, то это будет https://www.yourdomain.com/folder+pagename
Нужно настроить SSL для пользовательских доменов. Включите его в биллинге Google App Engine для SNI + VIP. После этого включите openssl для создания CSR. [Я использовал Ubuntu linux openssl]
Убедитесь, что он обновлен и не является старой версией, чтобы не подвергаться сердечному приступу.
openssl req -new -newkey rsa:2048 -nodes -out www_yourdowmain_com.csr \
-keyout www_yourdowmianprivatekey_com.key -subj "/C=US/ST=Full State not the two \
letter abbreviation /L=City /O=Company Name LLC /OU=Division of company \
Information Technology /CN=www.yourdomain.com"
Вы добавите свои альтернативные домены в момент покупки.
www.yourdomain.com
yourdomain.com
Обновление записей DNS - Добавление записи CNAME для GAE
После выдачи сертификата у вас есть еще полдюжины шагов в зависимости от эмитента SSL. Для установки и активации SSL в GAE необходимо загрузить два файла: файл combined.pem и незашифрованный приватный ключ. После загрузки файлов выберите роль обслуживания и CNAME-запись.
Ваш сертификат + промежуточный сертификат = файл combine.pem.
[В некоторых случаях, возможно, три сертификата, чтобы сделать комбинированный pem-файл]
private key file из CSR-запроса
openssl rsa -in www_yourdowmianprivatekey_com.key -out unencryptedkey.pem
Документация Google оставляет желать лучшего. Если это домен, который вы планируете иметь некоторое время, я получу сертификат на два года. Я только что прошел через этот процесс за последние две недели. В прошлом я использовал Digicert и GoDaddy. Другими поставщиками являются Verisign/Symantec, Comodo. Если это публичный проект, вам нужен SSL-провайдер, который распространяется как часть основных браузеров. Это ставит Digicert, Verisign, Comodo на первое место в связи с длительностью их присутствия на рынке. Некоторые другие поставщики могут быть не столь широко приняты.
.