我们在 F5 网络设备集群后面的 Windows 2008R2 / IIS7.5 集群上运行一个大型 SaaS 应用程序。
今天,我们通过自定义 CName 为客户提供白标品牌(你的公司。our-domain.com)。
我们希望为客户提供指定自己的白标域名(www.您的域名.com) 来注册他们已经拥有的域名。
通过让客户在他们自己的 DNS 服务器上设置 A 或 CNAME 记录,指向我们指定的 IP,我们的 IIS 机器接收请求 - 但由于整个 SaaS 应用程序都应该通过 SSL 运行,我们对如何最好地进行有点困惑。
目前,我们不要将 SSL 处理卸载到 F5 设备,而让 IIS 计算机处理 SSL。我们的公司证书正在加载到每个 Windows IIS 服务器上的存储中,并在那里进行配置。
我们正在寻找一种“最佳实践”方法,以允许客户自行配置启用 SSL 的自定义域。
目前,我们最好的想法是让客户通过我们 SaaS 中的管理面板上传包含其密钥信息的 PEM,然后我们会根据需要以编程方式将证书添加到每台 Windows 计算机和 IIS 配置中。在我看来,这似乎有点安全问题,因为这是否意味着客户被迫共享他们的私人的密钥对我们有用吗?(我对非对称加密不太擅长,所以我意识到我在这部分可能错了)。
这是允许自定义域的网站上的最佳实践吗?还有更好的选择吗?我们还知道我们的 F5 基础设施允许 SSL 卸载 - 如果有人熟悉该解决方案并知道我们可以利用它。
谢谢大家的帮助。