Estou solicitando ajuda para criar uma infraestrutura para certificados SSL dinâmicos para uso em ambiente conteinerizado em vários subdomínios de myrootdomain.com, alguns dos quais podem ter acesso intermitente à Internet. Deixe-me explicar.
- Registramos myrootdomain.com (não o nome real, obviamente) como domínio raiz.
- Teremos vários subdomínios, por exemplo, sub1.myrootdomain.com, sub2.myrootdomain.com, etc.
- A maioria desses subdomínios estará local em vários países ao redor do mundo.
- Precisamos que essas soluções locais possam criar certificados SSL dinâmicos para VMs e serviços em contêineres, mesmo quando a rede local estiver desconectada da Internet.
- Essas redes locais serão uma infraestrutura como código imutável e esses certificados SSL dinâmicos terão TTLs curtos, já que os contêineres nunca foram projetados para durar muito.
- Isso precisaria funcionar em um ambiente sem ar.
Inicialmente pensamos que poderíamos comprar um certificado SSL para o domínio myrootdomain.com e, a partir desse certificado SSL "pai" em myrootdomain.com, gerar um certificado intermediário para cada subdomínio, a partir do qual poderíamos gerar certificados SSL dinâmicos para os contêineres e VMs. À medida que contêineres e VMs são destruídos, seus certificados também o são. À medida que os contêineres ou VM são gerados, um novo certificado SSL baseado no certificado intermediário do subdomínio seria gerado e atribuído. Isso precisaria funcionar em um ambiente sem ar.
Que tipo de certificado é necessário no domínio myrootdomain.com? Que tipo de certificados são necessários nos subdomínios? Onde posso encontrar algumas referências para este caso de uso? Obrigado pelo seu tempo.
Entramos em contato com o suporte SSL 101domain.com (onde o domínio está registrado), que me disse que teríamos que regenerar o certificado SSL no domínio raiz todas as vezes. Eu sei que isso está incorreto, então encaminhamos o ticket para os engenheiros. Estou esperando a resposta deles. Enquanto isso, pensei em perguntar à comunidade.
Pesquisei no Google todos os tipos de certificados SSL dinâmicos em contêineres e VMs, mas não encontrei nada relacionado à construção da infraestrutura ou ao tipo de certificados necessários. Tenho certeza de que é porque não estou usando as palavras da moda certas em minhas pesquisas. Você não sabe o que não sabe.
Responder1
Você precisaria de um certificado de CA subordinado se desejasse que os certificados fossem reconhecidos pelos clientes sem configuração específica nos clientes.
Como você deseja que este certificado subordinado seja capaz de emitir certificados apenas para nomes em um domínio específico, um Certificado de CA Subordinada Tecnicamente Restrito, conforme definido peloRequisitos de linha de baseseria suficiente para você.
Não consegui encontrar uma CA que os vendesse por meio de uma pesquisa rápida, mas talvez seja necessário contatá-los. Certamente haverá restrições sobre como você pode armazenar a chave deste certificado e que tipo de certificado você pode emitir por meio dele, que será auditado regularmente pela CA.
Se isso se destina apenas a clientes que você controla, configurar seu próprio pki e adicioná-lo aos seus clientes pode ser mais fácil.