通配符路由和证书答案

【问题标题】：Wildcard Route and Certificate通配符路由和证书
【发布时间】：2016-08-24 15:06:39
【问题描述】：

我在 Swisscom 云中部署一个 PHP 应用程序，监听通配符路由 (*.example.com)。

使用 Let's Encrypt 来保护 ssl 路由没有问题。为 Swisscom Cloud 中的应用创建通配符路由（如 *.mydomain.com）也没有问题。

问题：是否可以使用我自己的通配符证书创建安全的通配符路由（我认为 Let's Encrypt 不支持通配符）？这可以通过 CLI 完成吗？

【问题讨论】：

【解决方案1】：

对于安全 SSL 路由，我们完全依赖 Let's Encrypt - 无法携带您自己的证书和密钥。这也是出于安全原因（密钥不应离开生成它的机器）。

很遗憾，LE 目前不支持通配符证书：

Let's Encrypt 会颁发通配符证书吗？

我们目前没有这样做的计划，但在未来。希望通配符对于绝大多数人来说不是必需的我们的潜在订阅者，因为它应该易于获取和管理所有子域的证书。

我建议您为每个子域创建一个证书。如果您想自动执行此操作，可以直接与 API 对话：https://api.lyra-836.appcloud.swisscom.com/api-doc/#!/Certification_Processes/put_custom_certifications_create

编辑：

Let's Encrypt 将于 2018 年 1 月开始颁发通配符证书

【讨论】：

嗯，这使应用程序限制在定义数量的路线上。我认为可以使用 cli 并将证书添加到清单 (bosh.io/docs/trusted-certs.html)。
是的，每个域 (letsencrypt.org/docs/rate-limits) 每周限制为 20 个证书/路由。但我想这对于大多数用例来说已经足够了。您所指的链接有所不同：它在 BOSH 级别安装证书（CloudFoundry 在其上运行的虚拟机，您的应用程序在顶部的容器中运行） - 它仅将证书放在信任库中。然后，在从客户端的角度建立 TLS 连接时，此信任库用于验证 TLS 证书。为 TLS 连接的服务器部分安装密钥和证书是另一回事。