У меня есть приложение, размещенное на экземпляре AWS EC2, который находится за балансировщиком нагрузки с DNS, например example.com. Я хотел бы ежемесячно указывать несколько доменов на этот балансировщик нагрузки (бизнес-адаптации). У меня также есть публичный сертификат, созданный с помощью AWS CMC. Блок-схема для справки -https://imgur.com/RzQqCKy
С добавлением нового домена мне необходимо каждый раз генерировать новый сертификат (что справедливо) и мне нужно аутентифицировать все домены (старые + недавно добавленные) через CNAME (что действительно раздражает).
Есть предложения, чтобы сделать это простым? Я хотел бы иметь один корневой ЦС, а затем добавлять в них новые сертификаты в виде цепочки, но возможно ли это и является ли это хорошей практикой?
Приветствуются лучшие подходы.
PS: Я проверил ветку - SSL-сертификат для домена с перенаправлением CNAME , однако это выглядит как другой вариант использования.
Когда вы говорите CMC, вы имеете в виду ACM (AWS Certificate Manager)? В соответствии с это сообщение в блоге вы можете иметь до 25 сертификатов, связанных с балансировщиком нагрузки, что, возможно, будет немного проще автоматизировать.
Однако, как только вы приблизитесь к пределу, вам придется создать сертификат с несколькими доменами, поэтому мне интересно, стоит ли тратить немного больше времени на его автоматизацию с самого начала. Я не дал ни одной мысли, как это автоматизировать.
Балансировщик сетевой нагрузки выполняет свою работу. У него есть возможность иметь один сертификат по умолчанию и добавлять дополнительные сертификаты индивидуально по мере необходимости. Нет необходимости повторно аутентифицировать старые домены, и мы можем добавить / удалить сертификат домена (общедоступный) по требованию.