Мы запускаем крупное приложение SaaS, размещенное в кластерах Windows 2008R2 / IIS7.5 за кластером сетевого устройства F5.
Сегодня мы предлагаем клиентам брендинг с белой этикеткой через пользовательские CNames (твоя компания.our-domain.com).
Мы хотели бы предложить клиентам возможность указать собственное доменное имя для white label (www.your-domain.com) для домена, которым они уже владеют.
Если заказчик настроил запись A или CNAME на своем собственном DNS-сервере, указывая на указанный нами IP-адрес, наши машины IIS получат запрос, но поскольку все приложение SaaS должно работать через SSL, мы немного не понимаем, как лучше продолжить.
В настоящее время мы не разгрузить обработку SSL на устройства F5, и вместо этого заставить машины IIS обрабатывать SSL. Наши корпоративные сертификаты загружаются в магазины на всех серверах Windows IIS и настраиваются там.
Мы ищем "передовой" подход, позволяющий клиенту самостоятельно настраивать свой домен с включенным SSL.
В настоящее время нашей лучшей идеей было бы, чтобы клиент загрузил PEM, содержащий их ключевую информацию, через его панель администрирования в нашем SaaS, а затем мы добавили бы сертификат программно на каждый компьютер Windows и конфигурацию IIS по мере необходимости. Мне это кажется проблемой безопасности, так как это не означает, что клиент вынужден делиться своими частный ключ у нас? (Я не очень силен в асимметричном шифровании, поэтому понимаю, что могу ошибаться в этой части).
Это лучшая практика для сайтов, на которых разрешены пользовательские домены? Есть вариант лучше? Мы также знаем, что наша инфраструктура F5 допускает разгрузку SSL - если кто-то знаком с этим решением и знает, чем мы можем воспользоваться.
Всем спасибо за помощь.