我有一个网站,客户可以在其中注册并获得子域名网站。
例如,他们注册了 some_name.mysite.com。这对于 DNS 和 SSL 来说都很好。我在我的服务器上使用了通配符 SSL:*.mysite.com
我想添加此功能,以便我的客户可以将他们自己的域名链接到他们的网站(some_name.com -> 我的服务器)。我已经完成了 DNS 部分。
SSL 部分如何工作?有没有典型的方法可以做到这一点?
答案1
我假设这是关于 SSL 证书的问题,并且您实际上已经拥有的是通配符证书(由 SSL 或 TLS 使用)。我们还假设您的服务类似于 Apache(或基于问题附带的标签之一的 nginx)Web 服务。请随意澄清这一点。但是,作为“新贡献者”,我无法通过对您的问题发表评论来寻求澄清。
我的理解是,您的客户(或您代表他们)需要为 some_name.com 获取另一个证书,并将其添加到您的 Apache(或您的任何服务)配置中。您的 *.mysite.com 通配符证书不适用于 some_name.com 网站(尽管您可以修改该证书以添加其他域)。
答案2
您将需要一个包含其域名的 TLS 证书。
您的选择大致如下:
您为客户域请求 TLS 证书:
- 客户可能需要添加/更新他们的 CAA 政策以允许这一点。
- 将该客户域名添加到您已有的 *.example.com 证书中作为“备用名称”。请注意,备用名称的最大数量是有限的。
- 与上面类似,但不是向现有证书请求中添加针对客户域名的新/附加证书(例如使用 Let's Encrypt),而是为它们设置额外的特定于客户的 TLS VirtualHosts。
让客户向您提供私钥和签名证书以添加到您的配置中。这也意味着为每个客户添加一个新的 TLS VirtualHost。
无论哪种方式,您还将负责(监控)证书续订,并且可能需要处理例如让域名注册续订失效的客户。