AWS 的动态 SSL 证书

【问题标题】:dynamic SSL certificate with AWSAWS 的动态 SSL 证书
【发布时间】:2020-10-06 01:11:47
【问题描述】:

我有一个多租户电子商务平台。(我的客户可以创建自己的电子商务网站) 创建商店后,每个客户都会得到子域customer-store-name.myapp.com

要处理这个 SSL 用例 (xxx.myapp.com),我可以使用通配符 ssl (*.myapp.com)。

但是,我必须允许他们连接自己的自定义域。 例如customer.com ===> customer-store-name.myapp.com

如果我使用nginx 作为代理通行证,我想我可以编写一些自动化程序,使用lets encrypt 为每个具有某些后端服务的客户创建证书,然后将每个客户的块添加到conf.d

server {
    listen 443 ssl;
    server_name customer.com;

    ssl_certificate /etc/letsencrypt/customer.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/customer.com/privkey.pem;

    location / {
        proxy_pass http://eCommerce:80/;
        ...
    }
}

但是在这种情况下,每次添加客户时我都必须重新启动 nginx。它可能是一个很大的域列表。

那么,aws 上是否有任何服务可以解决我的要求?或任何服务组合来解决它?

(如果aws之外有任何服务也可以)

【问题讨论】:

    标签: amazon-web-services ssl nginx devops


    【解决方案1】:

    不幸的是,没有一个简单的解决方案来解决这个问题。

    您的 SSL 选项如下:

    • 生成包含所有域名的 SSL,这将附加到具有 TLS/CloudFront 分配的 ALB/NLB。
    • 通过 Lets Encrypt(如您所说)为每个域名生成新的 SSL。

    任何这些解决方案的问题是它们要求您获得客户域管理员的授权才能生成这些 SSL 证书。

    我建议使用 ACM 而不是 Lets Encrypt 方法,因为它可以让您轻松扩展应用程序以满足需求的增长。目前每个 ACM SSL 的默认配额为 10 个域,因此您需要联系 AWS 以增加此限制(通配符算作 1 个域)。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2020-11-29
      • 1970-01-01
      • 2020-08-16
      • 2019-10-03
      • 2020-11-06
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode