我们在F5networking设备集群后面的Windows 2008R2 / IIS7.5集群上运行托pipe的大型SaaS应用程序。
今天,我们通过自定义CNames( your-company。our-domain.com )为客户提供白色标签的品牌。
我们希望为客户提供能够为他们已经拥有的域指定自己的域名的白色标签( www。your-domain.com )。
通过让客户在自己的DNS服务器上设置A或CNAMElogging,指向我们指定的IP,我们的IIS机器接收到请求 – 但由于整个SaaS应用程序应该通过SSL运行,所以我们有点难以理解最好继续。
目前,我们不会将SSL处理卸载到F5设备,而是让IIS机器处理SSL。 我们的企业证书正在加载到每个Windows IIS服务器上的商店中,并在那里进行configuration。
我们正在寻找一种“最佳实践”方法,允许客户在启用SSL的情况下自行configuration其自定义域。
目前,我们最好的办法是让客户通过我们的SaaSpipe理面板上传包含关键信息的PEM,然后按照需要以编程方式将证书添加到每台Windows机器和IISconfiguration中。 这对我来说似乎是一个安全问题,因为这不意味着客户被迫与我们分享他们的私钥 ? (我不是非常强大的非对称encryption,所以我意识到我可能在这部分是错误的)。
这是允许自定义域的网站上的最佳做法吗? 有更好的select吗? 我们也知道我们的F5基础设施允许SSL卸载 – 如果有人熟悉这个解决scheme,并且知道我们可以利用的地方。
谢谢大家的帮助。