У меня есть приложение, размещенное на экземпляре AWS EC2, который находится за балансировщиком нагрузки с DNS, например example.com. Я хотел бы ежемесячно указывать несколько доменов на этот балансировщик нагрузки (бизнес-адаптации). У меня также есть общедоступный сертификат, созданный с помощью AWS CMC. Блок-схема для справки - https://imgur.com/RzQqCKy
С добавлением нового домена мне необходимо каждый раз генерировать новый сертификат (что справедливо) и мне нужно аутентифицировать все домены (старые + недавно добавленные) через CNAME (что действительно раздражает).
Есть ли предложения, чтобы сделать это простым? Я хотел бы иметь один корневой ЦС, а затем добавлять в них новые сертификаты в виде цепочки, но возможно ли это и является ли это хорошей практикой?
Приветствуются лучшие подходы.
PS: Я проверил поток - SSL-сертификат для домена с перенаправлением CNAME , однако, похоже, это другой вариант использования.
Когда вы говорите CMC, вы имеете в виду ACM (AWS Certificate Manager)? Согласно в этом сообщении в блоге вы можете иметь до 25 сертификатов, связанных с балансировщиком нагрузки, что, возможно, будет немного проще автоматизировать.
Однако, как только вы приблизитесь к пределу, вы получите чтобы создать сертификат с несколькими доменами, поэтому мне интересно, стоит ли тратить немного больше времени на его автоматизацию с самого начала. Я не дал ни одной мысли, как это автоматизировать.
Балансировщик сетевой нагрузки выполняет эту работу. У него есть возможность иметь один сертификат по умолчанию и добавлять дополнительные сертификаты индивидуально по мере необходимости. Нет необходимости повторно аутентифицировать старые домены, и мы можем добавить / удалить сертификат домена (общедоступный) по требованию.