管理多租户网站的SSL证书

Question

我们有一个多租户网站，在那里我们使用通配符SSL证书给人们一个子域到我们的网站。我们的一些客户希望使用他们自己的域，但我担心随着业务的增长，我们将如何管理每个客户的证书。目前证书驻留在web服务器上，这意味着我们在添加证书时将所有证书加载到每个web服务器。

我知道我们可以在web服务器前面引入一个专用的SSL设备，但是有没有其他选择来改善这些证书的管理呢？

Answer 1

我是一名微软的技术布道者，我的一个合作伙伴也遇到了同样的挑战。

我已经创建了一个示例源代码，它使用名为SNI的新IIS 8 (Windows Server 2012)功能自动为多个域绑定管理SSL证书，这是一种SSL主机标头。

您所需要做的就是重用我的代码(这非常简单)并将您的自定义SSL证书上传到blob存储，或者您可以编写自己的提供程序来从您的数据库中获取自定义域和证书。

我已经在http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/上发布了详细的解释和“即插即用”的源代码示例。

Answer 2

你可以让你的客户处理他们自己的证书，让他们在那里运行自己的https站点。它们可以提供包含单个框架的页面，其中包含您的内容(通过https)。用户将看到他们的域和证书，只要框架内容也是通过有效的https连接加载的，浏览器就会毫无错误地加载框架。我创建了一个快速而脏的test page，这样您就可以看到它的实际效果。

这个解决方案将“打破”地址栏，因为它将保留包含框架的页面的url。根据你正在运行的网站的类型，这可能是一个令人惊叹的问题。