SSL-сертификат Wildcard на Google App Engine + Cloudflare

Question

У меня есть домен example.com, и я хочу поддерживать поддомены подстановочные знаки , такие как *.example.com на SSL .

Мое приложение работает на Google App Engine и я надеюсь использовать Cloudflare для проксирования всех запросов к моему домену по SSL. Обратите внимание, что я использую бесплатный план Cloudflare.

Мой вопрос заключается в том, нужно ли мне покупать отдельный сертификат поддомена с подстановочными знаками помимо использования Cloudflare.

Я хочу включить метод полного (строгого) SSL в Cloudflare. Насколько я понимаю, я могу установить сертификат Origin, выданный Cloudflare, в GAE (чтобы GAE <-> Cloudflare был в безопасности), а затем использовать универсальный сертификат SSL, выданный Cloudflare, чтобы браузер Cloudflare <-> был в безопасности. Есть ли необходимость когда-либо приобретать отдельный сертификат поддомена с подстановочными знаками, или я могу полностью использовать (универсальные + сертификаты происхождения) SSL Cloudflare?

Если мое понимание выше неверно и мне нужно приобрести отдельный сертификат поддомена с подстановочными знаками SSL - как только я загружу его в GAE, будет ли мое соединение от GAE к браузеру защищено от конца до конца? Будет ли SSL на GAE подтвержден Cloudflare, а затем он сможет проксировать запросы поддоменов с подстановочными знаками на SSL?

Если кто-нибудь, сведущий и знающий в этой области, может помочь понять поток, это будет действительно признательно *. 1017 *

Answer 1

Я знаком с Cloudflare, но не с GAE. Для полного (строгого) вам потребуется сертификат, действительный как для example.com, так и для * .example.com как на Cloudflare, так и на исходных серверах. Cloudflare позаботится о пограничном сертификате, с которым будет взаимодействовать браузер / клиент.

Как вы и предполагали, проблемы с исходным сертификатом Cloudflare будут работать и будут бесплатными. Когда вы попросите Cloudflare сгенерировать это, вы можете указать домены, которые должны включать example.com и * .example.com. Cloudflare выдаст вам самозаверяющий сертификат для example.com с SAN для * .example.com. Положительным моментом является то, что он бесплатный и будет иметь длительный срок действия (если хотите). Обратной стороной является то, что если вам когда-либо придется сбросить облачную вспышку или взаимодействовать с исходными серверами без облачной вспышки, сертификат не будет подписан центром сертификации root. Эти запросы обычно не работают в клиентах и ​​браузерах, если вы специально не внесете изменения в конфигурацию клиента, чтобы доверять этому сертификату, и, конечно же, случайный браузер, обращающийся к этому серверу, получит ошибку сертификата.

A root Сертификат, подписанный CA, например .com с SAN для * .example.com также будет работать. С другой стороны, это обычно стоит денег, если вы не используете бесплатный сервис, такой как letsencrypt. Вам, вероятно, также придется обновлять этот сертификат чаще, чем самозаверяющий сертификат, а сертификат с истекшим сроком действия приведет к простою в режиме Full Strict. Положительной стороной этого является то, что обычно любой запрос, который вы отправляете непосредственно на исходные серверы, будет работать даже в случайном браузере. бесплатный, если потребуется), так что если бы мне абсолютно пришлось отказаться от облачной вспышки в экстренной ситуации, я мог бы просто переключить DNS на исходные серверы и все равно быть в порядке. Только если бы у меня была какая-то полная зависимость от Cloudflare, такая как рабочие или защита от DDoS, я бы go использовал самоподписанный сертификат Cloudflare.