Менеджер сертификатов AWS и Route 53 утверждают сертификаты SSL

Я запускаю SaaS с несколькими поддоменами и с возможностью для клиентов использовать свои собственные домены.

Это означает, что мы принимаем, например:

customer1.ourdomain.com
customer2.ourdomain.com
www.customer3.com
www.customer4.com

При создании сертификата через ACM я должен подтвердить новый сертификат для всех доменов, это справедливо, так как я могу жить с этим. Но наши клиенты не могут смириться с подтверждением своего домена каждый раз, когда мы добавляем новый сертификат (так как мы все еще не можем обновить / добавить домены в существующий сертификат).

У меня вопрос, могу ли я каким-то образом перехватить отправляемые письма, когда необходимо подтвердить домены? Из-за того, что я не всегда могу получить их письма, но только для примера. hostmaster@customer3.com

При необходимости домены могут быть перемещены на 53-й маршрут, клиенты обычно имеют их в течение длительного времени, размещая их где-то еще. Обычно мы просто делаем CNAME для нашего ELB.

Как другие люди справляются с этим?

С наилучшими пожеланиями, спасибо заранее

1 ответ

В настоящее время у вас есть два варианта: во-первых, AWS позволяет вам настроить имя базового домена, на которое вы хотите отправлять проверочное письмо. Например, вы запрашиваете SSL для поддоменов, таких как *.customer1.ourdomain.com или же *.customer2.ourdomain.com Вы можете указать ourdomain.com в качестве домена проверки.

Могу ли я настроить адреса электронной почты, на которые отправляется запрос на утверждение сертификата? Нет, но вы можете настроить базовое доменное имя, на которое вы хотите отправить проверочное письмо. Базовое доменное имя должно быть супердоменом доменного имени в запросе сертификата. Например, если вы хотите запросить сертификат для server.domain.example.com, но хотите направить электронное письмо с подтверждением на адрес admin@domain.example.com, вы можете сделать это с помощью интерфейса командной строки AWS или API. См. ACM CLI Reference и ACM API Reference для получения дополнительной информации.

Чтобы еще больше улучшить этот процесс, вы можете попробовать библиотеку pma acmagent, чтобы автоматизировать подтверждение SSL.

pip install acmagent

Запрос SSL

$ acmagent request-certificate --domain-name *.dev.example.com --validation-domain example.com
12345678-1234-1234-1234-123456789012

Утверждение SSL

$ acmagent confirm-certificate --certificate-id 12345678-1234-1234-1234-123456789012

Больше примеров можно найти здесь.

Второй вариант - создать запись MX в размещенной зоне, указывающую на службу SES, и использовать функцию Lambda для анализа тела письма с подтверждением. Я обнаружил, что существующий проект, который выглядит так, уже делает это: https://github.com/cjdev/aws-acm-certificate-request-approver

Надеюсь, это поможет.

Другие вопросы по тегам