我請求協助建立動態 SSL 憑證的基礎設施,以便在 myrootdomain.com 的多個子網域的容器化環境中使用,其中一些子網域可能具有間歇性的 Internet 存取。讓我解釋。
- 我們將 myrootdomain.com(顯然不是真實姓名)註冊為根網域。
- 我們將有多個子網域,例如 sub1.myrootdomain.com、sub2.myrootdomain.com 等。
- 這些子域中的大多數將位於世界各地的各個國家。
- 我們需要這些本地解決方案能夠為虛擬機器和容器化服務建立動態 SSL 證書,即使本地網路與互聯網斷開連接也是如此。
- 這些本地網路將是不可變的基礎設施即程式碼,而這些動態 SSL 憑證將具有較短的 TTL,因為容器永遠不會長期存在。
- 這需要在氣隙環境中運作。
我們最初認為可以為 myrootdomain.com 網域購買 SSL 證書,然後從 myrootdomain.com 上的「父」SSL 證書為每個子網域產生一個中間證書,從中我們可以為容器生成動態 SSL 證書和虛擬機器。隨著容器和虛擬機器被破壞,它們的憑證也被破壞。當容器或虛擬機器產生時,將產生並指派基於子網域的中間憑證的新 SSL 憑證。這需要在氣隙環境中運作。
myrootdomain.com 網域需要什麼類型的憑證?子網域需要什麼類型的憑證?在哪裡可以找到此用例的一些參考資料?感謝您的時間。
我們聯絡了 101domain.com(網域註冊地)SSL 支援人員,他們告訴我我們每次都必須在根網域上重新產生 SSL 憑證。我知道這是不正確的,因此我們將問題上報給了工程師。我正在等待他們的回應。同時,我想我應該問問社區。
我在 Google 上搜尋了容器和虛擬機器上的各種動態 SSL 證書,但沒有找到任何與為其建立基礎架構或所需證書類型相關的內容。我確信這是因為我在搜尋中沒有使用正確的流行語。你不知道你不知道什麼。
答案1
如果您希望用戶端能夠識別憑證而無需在用戶端上進行特定配置,則需要從屬 CA 憑證。
由於您希望此從屬證書只能為特定網域下的名稱頒發證書,因此技術上受限制的從屬 CA 證書由基線要求對你來說就夠了。
我透過快速搜尋找不到出售它們的 CA,但您可能需要聯繫他們。它肯定會限制您如何儲存該證書的金鑰以及您可以透過它頒發什麼類型的證書,這些限制將由 CA 定期審核。
如果這僅適用於您控制的用戶端,那麼設定您自己的 pki 並將其新增至您的用戶端可能會更容易。