我有一个由 AWS EC2 实例托管的应用程序,该实例位于具有 DNS 的负载均衡器后面,例如 example.com。我想每月将多个域指向此负载均衡器(业务入职)。我还有一个通过 AWS CMC 生成的公共证书。框图供参考 - https://imgur.com/RzQqCKy
添加新域后,我每次都需要生成一个新证书(这很公平),并且需要通过 CNAME 对所有域(旧 + 新添加)进行身份验证(这真的很烦人)。
有什么建议可以让这个简单吗?我想拥有一个根 CA,然后在其中添加新证书作为链,但这是否可行并且是一种好习惯?
更好的方法是最受欢迎的。
PS:我检查了线程 - CNAME 重定向域的 SSL 证书,但这看起来是一个不同的用例。
当您说 CMC 时,您是指 ACM(AWS 证书管理器)吗?根据这篇博客文章,您最多可以拥有 25 个与负载均衡器关联的证书,这可能更容易实现自动化。
但是,一旦接近限制,您将不得不创建具有多个域的证书,所以我想知道是否值得花更多时间从一开始就将其自动化。我还没有给出如何自动化它的任何想法。
网络负载均衡器完成了这项工作。它可以选择拥有一个默认证书并根据需要单独添加其他证书。无需重新验证旧域,我们可以根据要求添加/删除域证书(公共)。