LINUX.ORG.RU

SSL сертификаты для субдоменов четвертого уровня

 , ,


0

5

Суть токова: Есть некоторое количество веб-серверов, имеющих шаблонный URL вида

https:\/\/www\.[0-9]{9}\.example\.com

Это автоматически генерируемые инстансы aws, где имя зависит от определенных параметров.

Для каждого из них нужен честный SSL сертификат.

Пробовали двойной wildcard (*.*.example.com), но не все клиенты работают с такими сертификатами и, как я понимаю, RFC неоднозначен на счет этого. Одинарный wildcard не подходит из-за домена 4го уровня.

Пробовали также выпустить самоподписный CA-сертификат и подписывать им сертификаты серверов без wildcard'ов. Взлетело, но возникают сообщения о невалидности сертификата, что так же очевидно.

Можно ли купить сертификат, которым можно будет подписывать сертификаты серверов. И если да, то какого типа сертификат заказывать у провайдера?

Ну и вообще, может быть есть другие способы это реализовать?

Ответ на: комментарий от Vovka-Korovka

Ну таковы требования. Это автоматизация деплоя. Без ssl и www развернутая машина уже не будет идентична продакшну. Не комильфо.

Nicholass ★★★
() автор топика
Ответ на: комментарий от Nicholass

Ну требовать можно что угодно. Только у тебя с обязательным www остается один вариант - использовать самоподписанный сертификат и импортировать его на клиенты. Сертификат с правом подписи тебе не продадут.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от Nicholass

А какие еще могут быть пути, если ты хочешь, чтобы каждый твой домен использовал сертификат, подписанный публичной CA. Либо отказываться от www, либо использовать самоподписанный. На двух стульях тут не усидеть.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от Nicholass

Есть еще SAN, но там какие-то подводные камни со статическими IP, на сколько я знаю

Может SNI?

Подводных камней нету, можно навыписывать себе кучу сертификатов на поддомены, но, главное, чтобы private.key на IP был один и тот же. Два домена указывающие на один IP, должны быть подписаны валидно для одного и того же приватного ключа.

BaBL ★★★★★
()

Как вариант, можно генерировать сертификаты для этих доменов и автоматически подписывать при помощи Let’s Encrypt.

ZhuKoV
()
Ответ на: комментарий от ZhuKoV

Как вариант, можно генерировать сертификаты для этих доменов и автоматически подписывать при помощи Let’s Encrypt.

На сколько помню, у Let's Encrypt есть лимиты (то ли по неделям, то ли еще какие-то) и с большим количеством они тебя пошлют скоро в далекое путешествие.

BaBL ★★★★★
()
Ответ на: комментарий от Nicholass

c IP может быть беда, потому что aws, но спасибо, почитаю

Используй один приватный ключ для всех хостов и не должно быть проблем.

BaBL ★★★★★
()
Ответ на: комментарий от GNU-Ubuntu1204LTS

порядка 10 одномоментно. Но предполагается, что это машины будут появляться и исчезать постоянно.

Nicholass ★★★
() автор топика
Последнее исправление: Nicholass (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.