动态 SSL 证书与 AWS

Question

我有一个多租户电子商务平台。（我的客户可以创建自己的电子商务网站）创建商店后，每个客户都会获得子域customer-store-name.myapp.com ，

要处理这个 SSL 用例（ xxx.myapp.com ），我可以使用通配符 ssl（*.myapp.com）。

但是，我必须允许他们连接自己的自定义域。 例如customer.com ===> customer-store-name.myapp.com

如果我使用nginx作为代理通行证，我想我可以编写一些自动化程序，使用lets encrypt为每个客户创建具有一些后端服务的证书，然后为每个客户添加块到conf.d

server {
    listen 443 ssl;
    server_name customer.com;

    ssl_certificate /etc/letsencrypt/customer.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/customer.com/privkey.pem;

    location / {
        proxy_pass http://eCommerce:80/;
        ...
    }
}

但是在这种情况下，每次添加客户时，我都必须重新启动 nginx。 它可能是一个大的域列表。

那么， aws上是否有任何服务可以解决我的要求？ 或任何服务组合来解决它？

（如果aws之外有任何服务也可以）

Answer 1

不幸的是，没有一个简单的解决方案来解决这个问题。

您的 SSL 选项如下：

• 生成包含所有域名的 SSL，这将附加到具有 TLS/CloudFront 分配的 ALB/NLB。
• 通过 Lets Encrypt（如您所说）为每个域名生成一个新的 SSL。

任何这些解决方案的问题是它们要求您从客户域管理员那里获得授权，以允许您生成这些 SSL 证书。

我建议使用 ACM 而不是 Lets Encrypt 方法，因为它允许您轻松扩展应用程序以满足需求的增长。 当前每个 ACM SSL 的默认配额为 10 个域，因此您需要联系 AWS 以增加此限制（通配符算作 1 个域）。