Dynami c SSL-сертификат с AWS

Question

У меня есть мультитенантная платформа электронной коммерции (мой клиент может создать свой собственный веб-сайт электронной коммерции) после создания магазина каждый покупатель получает поддомен customer-store-name.myapp.com,

Для обработки этого варианта использования SSL (xxx.myapp.com) Я мог бы использовать ssl с подстановочными знаками (* .myapp.com).

Однако я должен разрешить им подключать свой собственный домен. например customer.com ===> customer-store-name.myapp.com

Если бы я работал с nginx в качестве прокси-прохода, я думаю, я мог бы написать некоторую автоматизацию для создания сертификата для каждого клиента с некоторой серверной службой, используя lets encrypt а затем добавить блок для каждого клиента в conf.d

server {
    listen 443 ssl;
    server_name customer.com;

    ssl_certificate /etc/letsencrypt/customer.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/customer.com/privkey.pem;

    location / {
        proxy_pass http://eCommerce:80/;
        ...
    }
}

Однако в этом случае мне приходится перезапускать nginx каждый раз, когда я добавляю клиента. и это может быть большой список доменов.

Итак, есть ли какие-либо услуги на aws, которые могли бы удовлетворить мои требования? или любая комбинация услуг для ее решения?

(если есть какие-либо услуги за пределами aws, это тоже может быть хорошо)

Answer 1

К сожалению, не существует простого решения этой проблемы.

Ваши параметры SSL следующие:

• Создать SSL, содержащий все имена доменов, он будет прикреплен к ALB / NLB с распределением TLS / CloudFront.
• Создайте новый SSL с помощью Lets Encrypt (как вы сказали) для каждого доменного имени.

Проблема с любым из этих решений заключается в они требуют, чтобы вы получили разрешение администратора домена клиента, чтобы вы могли генерировать эти SSL-сертификаты.

Я бы предложил использовать ACM вместо метода Lets Encrypt, поскольку он позволяет легко масштабировать ваше приложение при увеличении спроса. В настоящее время существует квота по умолчанию в 10 доменов на ACM SSL, поэтому вам нужно будет связаться с AWS, чтобы увеличить этот лимит (подстановочные знаки считаются как 1 домен).