我有一个由 AWS EC2 实例托管的应用程序,该实例位于具有 DNS 的负载均衡器后面,例如 example.com。我想每月将多个域指向此负载均衡器(业务入职)。我还有一个通过 AWS CMC 生成的公共证书。供参考的框图 -https://i.stack.imgur.com/Dm7z7.jpg
随着新域名的添加,我每次都需要生成一个新证书(这是公平的),并且需要通过 CNAME 对所有域名(旧域名+新添加的域名)进行身份验证(这真的很烦人)。
有什么建议可以简化这个吗?我想有一个根 CA,然后在其中添加新证书作为链,但这可行吗?这是一种好的做法吗?
最受欢迎的是更好的方法。
附言:我检查了帖子 -CNAME 重定向域名的 SSL 证书,但这看起来是一个不同的用例。
答案1
当您说 CMC 时,您是指 ACM (AWS 证书管理器) 吗?根据这篇博文您最多可以拥有 25 个与负载均衡器关联的证书,这可能会使自动化变得更简单一些。
但是,一旦接近限制,您就必须创建具有多个域的证书,因此我想知道是否值得从一开始就花更多时间将其自动化。我还没有考虑过如何将其自动化。
答案2
网络负载平衡器可以完成这项工作。它有一个默认证书选项,并根据需要单独添加其他证书。无需重新验证旧域,我们可以根据需要添加/删除域证书(公共)。