Я собираюсь настроить SSL для своего домена, теперь конфигурация следующая: - облачный компьютер Google, на котором размещен веб-сайт (example.com) и веб-приложение (js, example.com/myapp), который взаимодействует с API, написанным на экземпляре движка приложения Google - экземпляре движка приложения Google, в котором размещен API (example.com/api)
Что я хочу сделать, так это сопоставить API с example.com/api и убедиться, что связь между приложением и API осуществляется по протоколу https (я должен использовать тот же домен, иначе это не сработает).
Теперь вопрос: как я могу это сделать? и какой тип SSL-сертификата мне нужен?
Мои мысли:
/api к экземпляру API GAE (но я в этом не уверен).api.example.com а затем используйте apache для сопоставления api.example.com к example.com/api . Все еще не уверен в этом.В конце концов, что мне делать?
Вам понадобится только сертификат одного домена, если на него будут ссылаться, как вы описали.
В зависимости от вашего приложения у вас может быть слушатель, чтобы определить, как вы хотите его называть. Если это простая ссылка на страницу, это будет https://www.yourdomain.com/folder+pagename
Вам необходимо настроить SSL для пользовательских доменов. Включите его в биллинге Google App Engine для SNI + VIP. После этого используйте openssl для создания CSR. [Я использовал Ubuntu linux openssl]
Убедитесь, что это последняя версия, а не старая версия, чтобы не подвергнуться серьезной уязвимости.
openssl req -new -newkey rsa:2048 -nodes -out www_yourdowmain_com.csr \
-keyout www_yourdowmianprivatekey_com.key -subj "/C=US/ST=Full State not the two \
letter abbreviation /L=City /O=Company Name LLC /OU=Division of company \
Information Technology /CN=www.yourdomain.com"
Вы добавите свои альтернативные домены во время покупки.
www.yourdomain.com
yourdomain.com
Обновите записи DNS - добавьте запись CNAME для GAE
Когда вы получите сертификат, у вас будет еще полдюжины шагов в зависимости от поставщика SSL. Общие шаги для установки и активации SSL в GAE, вам необходимо загрузить два файла: combined.pem файл и незашифрованный закрытый ключ. После загрузки файлов вы выбираете обслуживающую роль и запись CNAME.
Ваш сертификат + промежуточный сертификат = combined.pem файл [в некоторых случаях может потребоваться три сертификата для создания объединенного файла pem]
файл закрытого ключа из запроса CSR
openssl rsa -in www_yourdowmianprivatekey_com.key -out unencryptedkey.pem
Документация Google оставляет желать лучшего. Если это домен, который вы планируете иметь какое-то время, я бы получил двухлетний сертификат. Я прошел через этот процесс последние две недели. я использовал Digicert и GoDaddy в прошлом. Другие поставщики Verisign / Symantec, Комодо. Если это общедоступный проект, вам нужен провайдер SSL, который распространяется как часть основных браузеров. Это ставит Digicert, Verisign, Комодо находятся в верхней части списка из-за продолжительности их пребывания на рынке. Некоторые другие провайдеры могут быть не так широко приняты.