我们正在为我们公司创build一个内容pipe理系统。 此CMS支持dynamic数量的服务器上的dynamic域名是非常重要的。 经过几个小时的研究之后,我们觉得亚马逊的Elastic Beanstalk是最好的select。 我们还需要的一件事是为与系统相关的域dynamic启用SSL。
所以在我们的系统中,我们可以创build一个与网域相关联的“网站”。 在创build网站时,我们也应该有能力select域是否通过SSL / TLS托pipe。 我们计划对该系统进行白色标记,并预计将有大量域名与之关联。
我一直在探索能够在服务器(或负载平衡器)上build立SSL的不同可能性,并且能够改变即时保护的域名。 这是我在哪里:
- 使用亚马逊的证书pipe理器 :这将是最好的方式去做。 它与AWS集成,非常易于使用。 但是,它有几个使人虚弱的限制:1.每次申请新证书时都必须通过电子邮件validation每个域名。 没有什么大不了的,它不能申请EC2实例的证书,只有负载均衡器和负载均衡器只能分配一个证书。 这意味着,只要您希望保护其他域,就必须重新validation每个域。 不好。
- 使用让我们encryption负载平衡器 :这将是下一个最好的方式(我可以看到)来保护我们的网站。 每当需要保护一个新站点时,我们都会为所有需要SSL的站点申请一个新的证书。 一旦证书被创build,我们将其推送到IAM,并通知EBS将负载均衡器与新的证书相关联。 我看到的唯一问题是, LetsEncrypt将他们的证书限制在100个域中,就像非免费但相对便宜的SSL提供商SSLMate一样。 现在可能工作,但它不能缩放。 是否有一个自动化的SSL提供者,对证书上的域数目没有限制?
- 使用Passthrough SSL :Amazon的Elastic Beanstalk允许您以这种方式进行设置,以便负载均衡器将encryptionstream量直接传递给EC2实例。 然后,您可以允许EC2实例处理证书。 然后,我可以利用LetsEncrypt并为每个域分配一个单独的证书。 当考虑自动调节时,我遇到了一个问题:我们需要跨实例复制证书。 我的解决scheme是将证书存储在安全的S3存储桶中,然后在所有EC2实例上运行一个cron,以便将新的/更新的证书导出。
有没有关于最后的想法? 有什么更好的解决scheme,我想要做什么? 我错过了什么吗? 关心? 或者,也许对我的问题超级简单的解决scheme?
请注意,我使用泊坞窗,所以我可以在我需要的服务器上设置任何东西。