我们有一个基于云的SaaS多租户系统。 AKA:平台。 该平台通过允许最终用户执行一些工作来为我们的客户提供服务。 举一个例子,假设我们有一个博客服务,我们向公司出售,然后他们可以发布博客,并与他们的用户进行交stream。
迄今为止,为了使服务变得可用并能够安全地做到这一点,我们为每个客户购买了一个域并为其颁发了SSL证书(UCC证书上的域validation)。 例如,如果我们有一个名为corporate1的客户,我们通常会购买一个名为blogcorporate1.com的域并对其进行pipe理。
我们希望完全可以使解决scheme变得可用,这意味着我们希望能够通过blog.corporate1.com为我们的客户提供服务。
有没有办法做到这一点?
这样做是否可以完全独立于客户? 意思是,如果他们只是redirect到我们的服务,我们将服务器更改为不同的IP,那么我们需要他们指向新的IP。
他们是否可以将子域名blog.corporate1.com的pipe理委托给我们,我们将pipe理该子域的域名以及为其颁发SSL证书(还要设置电子邮件转发和其他DNS服务)?
这里有几个问题,这对SF来说不是很好的做法。 也就是说,据我了解,你有一个客户,我们称他们为example.com ,并且你想在blog.example.com使用SSL为他们提供一个博客服务。
他们主持DNS。 如果我们的服务器IP更改呢?
他们更新他们的DNS来宣传你的新IP,并且事情继续工作。
他们可以将
blog.example.com子域名委托给我们的域名服务器吗?
是的,只要他们有一些DNS线索和一半体面的DNS基础设施。 然后,您可以安排IP更改,而无需参考客户端。
我可以获得
blog.example.com的SSL证书吗?
如果这样做通常是可能的话,那么它将彻底打败SSL的整个想法。 有些提供商会将blog.example.com上的HTTP服务控制blog.example.com视为certificate您有权使用该CN的SSL证书(正如lalokin在他/她的回答中指出的那样,letsencrypt就是这样的提供者),所以一旦您有http://blog.example.com设置和工作,你可以从这样的提供者获得证书。 有些CA需要更多的证据certificate您有权使用FQDN(例如,在blog.example.com上控制正在运行的邮件服务器),如果客户需要EV证书,事情会变得非常复杂。
这里通常有效的解决scheme是生成CSR,将其交给客户,并告诉他们由任何适合他们的提供商签名。 一旦他们给你签署的证书,你安装它,然后SSL随之而来。
根据您希望为这些域所使用的SSL证书,您可以请求域validation的证书,只需要您控制指定的sub.domain.tld。
现在我们来encryption一个很好的例子。 只要主机名指向你的服务器,你就可以申请一个证书。
certbot-auto certonly --webroot -d blog.domain.tld -w /var/www/blog.domain.tld