Я прошу помощи в создании инфраструктуры для динамических SSL-сертификатов для использования в контейнерной среде на нескольких поддоменах myrootdomain.com, некоторые из которых могут иметь непостоянный доступ в Интернет. Позвольте мне объяснить.
- Мы зарегистрировали myrootdomain.com (разумеется, это не настоящее имя) в качестве корневого домена.
- У нас будет несколько поддоменов, например, sub1.myrootdomain.com, sub2.myrootdomain.com и т. д.
- Большинство этих поддоменов будут располагаться локально в разных странах мира.
- Нам нужна возможность для этих локальных решений создавать динамические SSL-сертификаты для виртуальных машин и контейнеризированных сервисов, даже если локальная сеть отключена от Интернета.
- Эти локальные сети будут представлять собой неизменяемую инфраструктуру как код, а эти динамические SSL-сертификаты будут иметь короткие сроки жизни, поскольку контейнеры не предназначены для длительного использования.
- Это должно функционировать в среде с воздушным зазором.
Сначала мы думали, что сможем купить SSL-сертификат для домена myrootdomain.com, а затем из этого "родительского" SSL-сертификата на myrootdomain.com сгенерировать промежуточный сертификат для каждого поддомена, из которого мы сможем генерировать динамические SSL-сертификаты для контейнеров и виртуальных машин. По мере уничтожения контейнеров и виртуальных машин уничтожаются и их сертификаты. По мере создания контейнеров или виртуальных машин будет сгенерирован и назначен новый SSL-сертификат на основе промежуточного сертификата поддомена. Это должно будет работать в среде с воздушным зазором.
Какой тип сертификата нужен для домена myrootdomain.com? Какой тип сертификата нужен для поддоменов? Где я могу найти ссылки для этого варианта использования? Спасибо за ваше время.
Мы обратились в службу поддержки SSL 101domain.com (где зарегистрирован домен), где мне сказали, что нам придется каждый раз заново генерировать сертификат SSL на корневом домене. Я знаю, что это неправильно, поэтому мы передали тикет инженерам. Я жду их ответа. Тем временем я подумал, что стоит спросить сообщество.
Я гуглил всевозможные динамические сертификаты SSL для контейнеров и виртуальных машин, но не нашел ничего, что касалось бы построения инфраструктуры для этого или типа необходимых сертификатов. Я уверен, это потому, что я не использую нужные модные слова в своих поисках. Вы не знаете, чего вы не знаете.
решение1
Вам понадобится сертификат подчиненного центра сертификации, если вы хотите, чтобы сертификаты распознавались клиентами без специальной настройки на клиентах.
Поскольку вы хотите, чтобы этот подчиненный сертификат мог выдавать сертификаты только для имен в определенном домене, технически ограниченный подчиненный сертификат ЦС, как определено вБазовые требованияВам этого будет достаточно.
Я не смог найти CA, продающий их через быстрый поиск, но вам, возможно, придется связаться с ними. Это, безусловно, будет сопровождаться ограничениями на то, как вы можете хранить ключ для этого сертификата и какой тип сертификата вы можете выдать через него, что будет регулярно проверяться CA.
Если это предназначено только для контролируемых вами клиентов, может быть проще настроить собственную PKI и добавить ее к своим клиентам.