Ich bitte um Hilfe bei der Erstellung einer Infrastruktur für dynamische SSL-Zertifikate zur Verwendung in einer Containerumgebung auf mehreren Subdomänen von myrootdomain.com, von denen einige möglicherweise nur zeitweise auf das Internet zugreifen können. Lassen Sie mich das erklären.
- Wir haben myrootdomain.com (natürlich nicht der richtige Name) als Stammdomäne registriert.
- Wir werden mehrere Subdomänen haben, z. B. sub1.myrootdomain.com, sub2.myrootdomain.com usw.
- Die meisten dieser Subdomänen werden vor Ort in verschiedenen Ländern auf der ganzen Welt vorhanden sein.
- Wir müssen es diesen On-Premise-Lösungen ermöglichen, dynamische SSL-Zertifikate für VMs und Containerdienste zu erstellen, selbst wenn das On-Premise-Netzwerk vom Internet getrennt ist.
- Diese lokalen Netzwerke werden eine unveränderliche Infrastruktur als Code sein und diese dynamischen SSL-Zertifikate werden kurze TTLs haben, da die Container nicht für eine lange Lebensdauer ausgelegt sind.
- Dies müsste in einer Umgebung mit Luftspalt funktionieren.
Wir dachten zunächst, wir könnten ein SSL-Zertifikat für die Domäne myrootdomain.com kaufen und dann aus diesem „übergeordneten“ SSL-Zertifikat auf myrootdomain.com ein Zwischenzertifikat für jede Subdomäne generieren, aus dem wir dynamische SSL-Zertifikate für die Container und VMs generieren könnten. Wenn Container und VMs zerstört werden, werden auch ihre Zertifikate zerstört. Wenn Container oder VMs erstellt werden, wird ein neues SSL-Zertifikat basierend auf dem Zwischenzertifikat der Subdomäne generiert und zugewiesen. Dies müsste in einer Air-Gap-Umgebung funktionieren.
Welche Art von Zertifikat wird für die Domäne myrootdomain.com benötigt? Welche Art von Zertifikaten werden für die Subdomänen benötigt? Wo finde ich einige Referenzen für diesen Anwendungsfall? Vielen Dank für Ihre Zeit.
Wir haben uns an den SSL-Support von 101domain.com (wo die Domain registriert ist) gewandt, der mir sagte, dass wir das SSL-Zertifikat für die Stammdomain jedes Mal neu generieren müssten. Ich weiß, dass das nicht stimmt, also haben wir das Ticket an die Techniker weitergeleitet. Ich warte auf ihre Antwort. In der Zwischenzeit dachte ich, ich frage mal die Community.
Ich habe bei Google nach allen möglichen dynamischen SSL-Zertifikaten für Container und VMs gesucht, aber nichts zum Aufbau der Infrastruktur dafür oder zu den benötigten Zertifikatstypen gefunden. Ich bin sicher, das liegt daran, dass ich bei meinen Suchen nicht die richtigen Schlagworte verwende. Man weiß nicht, was man nicht weiß.
Antwort1
Sie benötigen ein untergeordnetes CA-Zertifikat, wenn Sie möchten, dass die Zertifikate von den Clients erkannt werden, ohne dass auf den Clients eine spezielle Konfiguration erforderlich ist.
Da Sie möchten, dass dieses untergeordnete Zertifikat nur Zertifikate für Namen unter einer bestimmten Domäne ausstellen kann, ist ein technisch eingeschränktes untergeordnetes CA-Zertifikat, wie in derGrundlegende Anforderungenwürde dir reichen.
Ich konnte bei einer schnellen Suche keine Zertifizierungsstelle finden, die sie verkauft, aber Sie müssen sie möglicherweise kontaktieren. Es wird mit Sicherheit Einschränkungen geben, wie Sie den Schlüssel für dieses Zertifikat speichern können und welche Art von Zertifikat Sie damit ausstellen können, was von der Zertifizierungsstelle regelmäßig überprüft wird.
Wenn dies nur für Clients gedacht ist, die Sie steuern, ist es möglicherweise einfacher, eine eigene PKI einzurichten und sie Ihren Clients hinzuzufügen.