我请求帮助创建动态 SSL 证书的基础架构,以便在 myrootdomain.com 的多个子域上的容器化环境中使用,其中一些子域可能会间歇性地访问互联网。请听我解释。
- 我们将 myrootdomain.com(显然不是真实名称)注册为根域。
- 我们将有多个子域名,例如 sub1.myrootdomain.com、sub2.myrootdomain.com 等。
- 大多数子域名将位于世界各地的各个国家/地区。
- 我们需要这些内部部署解决方案能够为虚拟机和容器化服务创建动态 SSL 证书,即使内部部署网络与互联网断开连接。
- 这些内部部署网络将是不可改变的“基础设施即代码”,并且这些动态 SSL 证书将具有较短的 TTL,因为容器并不打算长期存活。
- 这需要在空气间隙环境中运行。
我们最初认为我们可以为 myrootdomain.com 域购买 SSL 证书,然后从 myrootdomain.com 上的“父”SSL 证书为每个子域生成一个中间证书,从中我们可以为容器和虚拟机生成动态 SSL 证书。随着容器和虚拟机被销毁,它们的证书也会被销毁。随着容器或虚拟机的生成,将生成并分配一个基于子域中间证书的新 SSL 证书。这需要在隔离环境中运行。
myrootdomain.com 域名需要什么类型的证书?子域名需要什么类型的证书?我在哪里可以找到此用例的一些参考资料?感谢您的时间。
我们联系了 101domain.com(域名注册地)的 SSL 支持人员,他们告诉我每次都必须在根域上重新生成 SSL 证书。我知道这是不正确的,所以我们将问题上报给了工程师。我正在等待他们的回复。与此同时,我想问问社区。
我已经在 Google 上搜索了容器和虚拟机上各种动态 SSL 证书,但没有找到任何与构建基础设施或所需证书类型相关的信息。我确信这是因为我在搜索时没有使用正确的流行词。你不知道你不知道什么。
答案1
如果您希望客户端识别证书而又不需要在客户端进行特殊配置,则需要从属 CA 证书。
由于您希望此下属证书仅能为特定域下的名称颁发证书,因此技术受限的下属 CA 证书(由基本要求对你来说就足够了。
我快速搜索后找不到销售这些证书的 CA,但您可能需要联系他们。它肯定会对如何存储此证书的密钥以及您可以通过它颁发哪种证书有所限制,这些限制将由 CA 定期审核。
如果这仅适用于您控制的客户端,则设置您自己的 pki 并将其添加到您的客户端可能会更容易。