Блог

Главная - Вопросы по программированию - HTTPS для неограниченного количества доменов

HTTPS для неограниченного количества доменов

#nginx #https #lets-encrypt

#nginx #https #позволяет зашифровать

Вопрос:

Я работаю в проекте, похожем на wix.com и shopify.com:

  • Компании, которые нанимают мою службу, настраивают свои записи NS на мой сервер
  • Все их посетители должны получать доступ через https
  • Я ищу решение, которое (возможно) использует letsencrypt.org в целях снижения затрат
  • Я использую сервер nginx и могу настроить https для одного домена

Вопрос в том:

  • какой подход я могу использовать, чтобы не создавать ключи шифрования для каждого домена, который я размещаю? Я ищу решение, которое масштабируется
  • Сегодня я использую один сервер для размещения всех компаний, но это скоро изменится. Как я могу управлять несколькими ключами на нескольких серверах (учитывая, что нет решения с использованием отдельных ключей)?

Я знаю, что вопрос может показаться расплывчатым, но, по крайней мере, укажите мне отправную точку для расследования.

Большое спасибо!

Комментарии:

1. Выдача сертификата letsencrypt может быть полностью автоматизирована, так почему бы вам этого не сделать? В чем основная проблема с разными сертификатами для каждого поддомена?

2. Кажется, что выдача сертификатов для каждого домена может не масштабироваться — где я буду хранить все сертификаты? Учитывая, что у меня может быть много серверов

3. Вам нужно около 4 КБ на сертификат, если вы сохраняете только текущие версии (остальные можно сжать и создать резервные копии, если вы хотите их сохранить), и 2 КБ на конфигурацию. Это означает, что вы можете хранить файлы примерно для 3 миллионов имен серверов на диске объемом 20 ГБ. Сколько вы собираетесь добавить, чтобы это не масштабировалось?

4. Я понял вашу точку зрения по поводу размера хранилища сертификата. Я думал, что несколько сотен доменов будут проблемой. Но в этом случае мне нужно будет обновить свой сертификат и перезагрузить nginx (не так ли?) Разве я не могу вместо этого использовать какой-то общий сертификат для нескольких доменов?

5. Обновление сертификатов и перезагрузка nginx также могут быть автоматизированы, см., Например, Это . Да, вы можете получить подстановочный сертификат для *.example.com , но не с помощью letsencrypt — так что это будет стоить вам денег.