AWS Certificate Manager和Route 53批准SSL证书

Question

我运行一个具有多个子域的SaaS，并且客户也可以选择使用自己的域。

这意味着，我们托管例如：

customer1.ourdomain.com
customer2.ourdomain.com
www.customer3.com
www.customer4.com

通过ACM创建证书时，我必须确认所有域的新证书，这很公平，因为我可以接受。 但是，每次添加新证书时，我们的客户都无法继续使用其域进行确认（因为我们仍然无法将域更新/添加到现有证书中。）。

我的问题是，当必须确认域时，我能以某种方式拦截正在发送的邮件吗？ 当然，我不能总是收到他们的邮件，而只是为了例如。 hostmaster@customer3.com

如果需要，可以将域移到Route 53，客户通常在很长一段时间内将其托管在其他位置。 我们通常只是为ELB创建一个CNAME。

其他人如何处理？

最好的问候，在此先感谢

Answer 1

当前 ，您在这里有两个选择：首先，AWS允许您配置要将验证电子邮件发送到的基本域名。 例如，您要为*.customer1.ourdomain.com或*.customer2.ourdomain.com类的子域请求SSL，您可以将ourdomain.com指定为验证域。

我可以配置将证书批准请求发送到的电子邮件地址吗？ 否，但是您可以配置要将验证电子邮件发送到的基本域名。 基本域名必须是证书请求中域名的超域。 例如，如果您想为server.domain.example.com申请证书，但又想将批准电子邮件定向到admin@domain.example.com，则可以使用AWS CLI或API进行。 有关更多详细信息，请参阅《 ACM CLI参考》和《 ACM API参考》。

为了进一步增强此过程，您可以尝试使用acmagent pip库来自动进行SSL确认

pip install acmagent

要求SSL

$ acmagent request-certificate --domain-name *.dev.example.com --validation-domain example.com
12345678-1234-1234-1234-123456789012

批准SSL

$ acmagent confirm-certificate --certificate-id 12345678-1234-1234-1234-123456789012

在这里可以找到更多示例。

第二种方法是在托管区域中创建指向SES服务的MX记录，并使用Lambda函数解析确认电子邮件正文。 我发现一个现有项目看起来已经在执行此操作： aws-acm-certificate-request-approver

希望有帮助。