我要为我的域名设置SSL,现在,configuration是这样的: – 托pipe网站的Google云计算机( example.com ),以及与API编写的webapp(js, example.com/myapp )在谷歌应用程序引擎实例 – 谷歌应用程序引擎instnace承载API( example.com/api )
我想要做的是将API映射到example.com/api,并确保应用程序和API之间的通信是https(我必须使用相同的域,否则它不起作用)。
现在的问题是:我怎么能做到这一点? 我需要什么types的SSL证书?
我的想法:
/api映射到/api的GAE实例(但我不确定)。 api.example.com ,然后使用apache将api.example.com映射到example.com/api 。 仍然不确定这一点。 最后,我该怎么办?
你只需要一个单一的域名证书,如果它将被引用,如你所述。
根据您的应用程序,您可以让听众确定如何调用它。 如果这是一个简单的页面引用,它将是https://www.yourdomain.com/folder+pagename
您必须为自定义域configurationSSL。 在针对SNI + VIP的Google App Engine结算中启用它。 启用此function后,使用openssl创build您的CSR。 [我用Ubuntu linux openssl]
确保它是最新的,而不是一个旧版本,所以你不会受到心脏病的漏洞。
openssl req -new -newkey rsa:2048 -nodes -out www_yourdowmain_com.csr \ -keyout www_yourdowmianprivatekey_com.key -subj "/C=US/ST=Full State not the two \ letter abbreviation /L=City /O=Company Name LLC /OU=Division of company \ Information Technology /CN=www.yourdomain.com"
您将在购买时添加备用域名。
www.yourdomain.com yourdomain.com
更新您的DNSlogging – 为GAE添加CNAMElogging
当你获得你的证书颁发你有另外的六个步骤取决于SSL发行者。 在GAE上安装和激活SSL的一般步骤必须上传两个文件: combined.pem文件和未encryption的私钥。 一旦file upload,然后select服务angular色和CNAMElogging。
您的证书+中级证书= combined.pem文件[在某些情况下,可能需要三个证书才能生成组合的pem文件]
来自CSR请求的私钥文件
openssl rsa -in www_yourdowmianprivatekey_com.key -out unencryptedkey.pem
Google文档留下了许多不足之处。 如果这是你打算有一段时间的域名,我会得到一个两年的证书。 我刚刚在过去的两周里经历了这个过程。 过去我使用过Digicert和GoDaddy 。 其他供应商是Verisign / Symantec , Comodo 。 如果这是一个公共项目,则需要一个作为主要浏览器的一部分分发的SSL提供程序。 这使得Digicert , Verisign , Comodo在市场上的时间长度位列榜首。 其他一些提供者可能不被广泛接受。