Solicito ayuda para crear una infraestructura para certificados SSL dinámicos para su uso en un entorno en contenedores en múltiples subdominios de myrootdomain.com, algunos de los cuales pueden tener acceso a Internet intermitente. Dejame explicar.
- Registramos myrootdomain.com (no es el nombre real, obviamente) como dominio raíz.
- Tendremos múltiples subdominios, por ejemplo, sub1.myrootdomain.com, sub2.myrootdomain.com, etc.
- La mayoría de esos subdominios estarán locales en varios países del mundo.
- Necesitamos la capacidad de estas soluciones locales para crear certificados SSL dinámicos para máquinas virtuales y servicios en contenedores, incluso cuando la red local está desconectada de Internet.
- Estas redes locales serán infraestructura como código inmutable y estos certificados SSL dinámicos tendrán TTL cortos, ya que los contenedores nunca deben durar mucho tiempo.
- Esto tendría que funcionar en un entorno sin aire.
Inicialmente pensamos que podríamos comprar un certificado SSL para el dominio myrootdomain.com, luego a partir de ese certificado SSL "principal" en myrootdomain.com generar un certificado intermedio para cada subdominio, a partir del cual podríamos generar certificados SSL dinámicos para los contenedores. y máquinas virtuales. A medida que se destruyen contenedores y máquinas virtuales, también se destruyen sus certificados. A medida que se generan contenedores o VM, se generará y asignará un nuevo certificado SSL basado en el certificado intermedio del subdominio. Esto tendría que funcionar en un entorno sin aire.
¿Qué tipo de certificado se necesita en el dominio myrootdomain.com? ¿Qué tipo de certificados se necesitan en los subdominios? ¿Dónde puedo encontrar algunas referencias para este caso de uso? Gracias por tu tiempo.
Nos comunicamos con el soporte SSL de 101domain.com (donde está registrado el dominio), quien me dijo que tendríamos que regenerar el certificado SSL en el dominio raíz cada vez. Sé que eso es incorrecto, así que escalamos el ticket a los ingenieros. Estoy esperando su respuesta. Mientras tanto, pensé en preguntarle a la comunidad.
Busqué en Google todo tipo de certificados SSL dinámicos en contenedores y máquinas virtuales, pero no encontré nada relacionado con la construcción de la infraestructura para ello o el tipo de certificados necesarios. Estoy seguro de que es porque no estoy utilizando las palabras de moda adecuadas en mis búsquedas. No sabes lo que no sabes.
Respuesta1
Necesitará un certificado de CA subordinado si desea que los clientes reconozcan los certificados sin una configuración específica en los clientes.
Como desea que este certificado subordinado pueda emitir certificados solo para nombres bajo un dominio específico, un Certificado de CA subordinado técnicamente restringido, según lo definido por laRequisitos básicossería suficiente para ti.
No pude encontrar una CA que los vendiera mediante una búsqueda rápida, pero es posible que deba comunicarse con ellos. Seguramente vendrá con restricciones sobre cómo almacenar la clave para este certificado y qué tipo de certificado puede emitir a través de él, lo cual será auditado periódicamente por la CA.
Si esto solo está destinado a los clientes que usted controla, puede ser más fácil configurar su propio pki y agregarlo a sus clientes.