.png)
myrootdomain.com の複数のサブドメイン上のコンテナ化された環境で使用する動的 SSL 証明書のインフラストラクチャを作成するための支援をお願いしています。これらのサブドメインの一部では、インターネット アクセスが断続的に発生する可能性があります。説明させてください。
- ルートドメインとして、myrootdomain.com (当然ながら実際の名前ではありません) を登録しました。
- 複数のサブドメイン(sub1.myrootdomain.com、sub2.myrootdomain.com など)が存在します。
- これらのサブドメインのほとんどは、世界中のさまざまな国でオンプレミスになります。
- オンプレミス ネットワークがインターネットから切断されている場合でも、これらのオンプレミス ソリューションで VM およびコンテナ化されたサービス用の動的な SSL 証明書を作成できる必要があります。
- これらのオンプレミス ネットワークは不変の Infrastructure as Code となり、コンテナの存続期間が長くなることを想定していないため、これらの動的 SSL 証明書の TTL は短くなります。
- これはエアギャップ環境で機能する必要があります。
当初は、myrootdomain.com ドメインの SSL 証明書を購入し、myrootdomain.com の「親」SSL 証明書から各サブドメインの中間証明書を生成し、そこからコンテナと VM の動的 SSL 証明書を生成できると考えていました。コンテナと VM が破棄されると、証明書も破棄されます。コンテナまたは VM が生成されると、サブドメインの中間証明書に基づく新しい SSL 証明書が生成され、割り当てられます。これは、エアギャップ環境で機能する必要があります。
myrootdomain.com ドメインにはどのようなタイプの証明書が必要ですか? サブドメインにはどのようなタイプの証明書が必要ですか? このユースケースに関する参考資料はどこにありますか? お時間をいただき、ありがとうございます。
101domain.com (ドメインが登録されている場所) の SSL サポートに問い合わせたところ、ルート ドメインの SSL 証明書を毎回再生成する必要があると言われました。これは間違っていることはわかっているので、チケットをエンジニアにエスカレーションしました。彼らの返答を待っています。その間、コミュニティに質問しようと思いました。
コンテナと VM 上のあらゆる種類の動的 SSL 証明書を Google で検索しましたが、そのためのインフラストラクチャの構築や必要な証明書の種類に関連するものは見つかりませんでした。検索で適切な流行語を使用していないことが原因だと思います。知らないことはわかりません。
答え1
クライアント上で特定の構成を行わずに証明書をクライアントが認識できるようにするには、従属 CA 証明書が必要になります。
この従属証明書で特定のドメインの名前に対してのみ証明書を発行できるようにしたいので、技術的に制約のある従属CA証明書は、ベースライン要件あなたにとっては十分でしょう。
簡単に検索した限りでは、これを販売している CA は見つかりませんでしたが、問い合わせる必要があるかもしれません。この証明書のキーの保存方法や、この証明書を通じて発行できる証明書の種類には、CA によって定期的に監査される制約が必ず伴います。
これが自分が管理するクライアントのみを対象としている場合は、独自の PKI を設定してクライアントに追加する方が簡単かもしれません。