Как наши клиенты могут использовать наш SaaS со своим собственным сертификатом SSL?
Мы предлагаем программное обеспечение как сервис, полностью размещенный на Amazon Web Services (AWS). В основном мы используем Elastic Beanstalk (эластичный балансировщик нагрузки + экземпляры ec2) и RDS (служба базы данных), а также многие другие сервисы.
Многие из наших клиентов пользуются нашими услугами со своим собственным доменом (белая метка), что не является проблемой. Однако это становится проблемой, когда они хотят использовать свой собственный домен с SSL, поскольку мы можем разместить только один сертификат SSL на каждый экземпляр / балансировщик нагрузки ec2.
Пока у нас есть один клиент, использующий сертификат SSL. Мы создали для них собственную среду, чтобы мы могли разместить их сертификат. Однако это совсем не практично, так как теперь нам нужно обновлять программное обеспечение и т. Д. В двух разных средах (нашей и их). Этот подход не масштабируется.
Есть ли обходной путь к этому? Можно ли иметь экземпляр ec2 исключительно для размещения SSL-сертификата клиента, но при этом направлять весь трафик в нашу основную среду (туннелирование)? Или, может быть, разместить несколько сертификатов на нашем балансировщике нагрузки? Любые другие подходы?
Большое спасибо за ваш вклад!
1 ответ
На самом деле все зависит от характера вашего приложения.
Если все, что вы предоставляете, это интерфейс на основе HTTPS (SOAP, JSON или веб-приложение) и вы не используете аутентификацию на основе сертификатов, то вы можете использовать некоторую форму системы обратного прокси.
В этом случае прокси-сервер будет иметь общедоступный интерфейс, который использует общедоступный URL (адрес вашего клиента) и перенаправляет запросы в вашу внутреннюю систему. Он все еще может пройти через ваш балансировщик нагрузки как клиент.