我运行带有多个子域的SaaS,并且客户也可以选择使用自己的域。
这意味着,我们主持例如:
customer1.ourdomain.com
customer2.ourdomain.com
www.customer3.com
www.customer4.com
通过ACM创建证书时,我必须确认所有域的新证书,这是公平的,因为我可以忍受。 但是,每当我们添加新证书时,我们的客户都无法确认他们的域名(因为我们仍然无法更新/添加域到现有证书。)
我的问题是,当域必须被确认时,我能否以某种方式拦截正在发送的邮件? 因为我不能总是得到他们的邮件,但仅仅是为了例如。 hostmaster@customer3.com
如果需要,可以将域移动到Route 53,客户通常在很长一段时间内使用它们,在其他地方托管。我们通常只为我们的ELB制作一个CNAME。
其他人如何应对此事?
最好的问候,提前谢谢
答案 0 :(得分:0)
目前,您有两种选择:
首先,AWS允许您配置要将验证电子邮件发送到的基本域名。例如,您要为*.customer1.ourdomain.com或*.customer2.ourdomain.com等子域请求SSL,您可以将ourdomain.com指定为验证域。
我可以配置证书批准的电子邮件地址吗? 请求已发送?不,但您可以将基本域名配置为 您希望发送验证电子邮件。基本域名 必须是证书申请中域名的超域。 例如,如果要为其申请证书 server.domain.example.com但希望将批准电子邮件定向到 admin@domain.example.com,您可以使用AWS CLI或API执行此操作。看到 有关详细信息,请参阅ACM CLI参考和ACM API参考。
为了进一步增强此过程,您可以尝试使用acmagent点库来自动执行SSL确认
pip install acmagent
申请SSL
$ acmagent request-certificate --domain-name *.dev.example.com --validation-domain example.com
12345678-1234-1234-1234-123456789012
批准SSL
$ acmagent confirm-certificate --certificate-id 12345678-1234-1234-1234-123456789012
可以找到更多示例here。
第二个选项是在托管区域中创建指向SES服务的MX记录,并使用Lambda函数来解析确认电子邮件正文。我发现现有的项目看起来已经这样做了:aws-acm-certificate-request-approver
希望这有帮助。