我们运行SaaS(软件即服务)公司,允许多个客户在我们的应用程序中创build“网站”。
这通常会导致客户拥有一个网站,这是我们的主要域的子域。 例如:someclient.mybusiness.com
我们支持SSL进行结账,并拥有一个通配符证书,以便涵盖所有客户端(因为它们都在* .mybusiness.com上)
我们现在要开始提供自定义域名。 在这种情况下,客户仍然将其网站设置为某个客户端.mybusiness.com,但可以访问他们的主机提供商并创build指向某个客户端.mybusiness.com的CNAME。 所以,他们可以买到指向someclient.mybusiness.com的buystuff.clientsite.com。
我的问题是如何最好的支持那些想要使用自定义域选项的客户端的SSL?
我已经阅读了关于SAN的内容,但是我不确定那将如何与我们现有的通配符证书一起工作。
我也读过SNI,但这需要我们的客户购买他们自己的证书,我们的营销部门宁愿不这样做。
任何想法都非常感谢!
马特
受信任的权威签名的SSL证书的全部要点是阻止实体A冒充实体B [1]而没有实体B的同意,你的营销部门将不得不忍受这一点。 没有信誉良好的供应商会签署一份指定其他人的FQDN的CSR,无论是主要还是在SAN领域,都没有很多其他人的参与。
我的build议是接受这一点,使用SNI,并有一个业务stream程, 您可以生成密钥对和CSR,然后通过一些非常精确的分步指导,向客户传递如何获得签名由特定的首选提供者提供。 这并不约束客户使用该提供商 – 有线索的客户可以获得由任何有效提供商签名的CSR – 但是这样可以最大限度地减less客户无法理解的机会。
[1]准确地说,要阻止实体A提供证书在实体B的DNS空间中包含CN的SSL安全服务。