マルチテナントのWebサイトがあり、ワイルドカードSSL証明書を使用して、サイトのサブドメインをユーザーに提供しています。一部のお客様は独自のドメインを使用したいと考えていますが、ビジネスの成長に合わせて各お客様の証明書をどのように管理するかが心配です。現在、証明書はWebサーバー上にあります。つまり、証明書を追加するときに、すべての証明書を各Webサーバーにロードします。
Webサーバーの前に専用のSSLデバイスを導入できることは承知していますが、これらの証明書の管理を改善する他のオプションはありますか?
私はマイクロソフトのテクニカルエバンジェリストであり、パートナーの1人がまったく同じ課題を抱えていました。
SSLホストヘッダーの一種であるSNIと呼ばれる新しいIIS8(Windows Server 2012)機能を使用して、複数のドメインバインディングのSSL証明書を自動化および管理するサンプルソースコードを作成しました。
私のコードを再利用して(非常に簡単です)、カスタムSSL証明書をblobストレージにアップロードするだけです。または、独自のプロバイダーを作成して、データベースからカスタムドメインと証明書をフェッチすることもできます。
詳細な説明とサンプルの「プラグアンドプレイ」ソースコードを http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-servicesに投稿しました。 //
クライアントに独自の証明書を処理させ、独自のhttpsサイトで実行させることができます。彼らはあなたのコンテンツ(https経由)で単一のフレームを含むページを提供することができます。フレームの内容も有効なhttps接続を介して読み込まれる限り、ユーザーにはドメインと証明書が表示され、ブラウザは文句を言わずにフレームを読み込みます。簡単なダーティテストページを作成したので、実際の動作を確認できます。
このソリューションは、フレームを含むページのURLを保持するため、アドレスバーを「壊す」でしょう。実行しているサイトのタイプによっては、これは見事なものになる可能性があります。