azure - 使用 Azure 应用程序网关为自定义域托管动态 ssl 证书

问题描述

我正在尝试使用 azure 设计一个多租户 SaaS 应用程序。我的应用程序将存在于域 app.example.com 上，租户将存在于子域上，例如，tenantname.example.com 带有 *.example.com 的 cname 返回应用程序。所有这些都工作正常并且符合预期。当客户想要托管自己的域时，问题就出现了。我已经阅读了许多关于如何使用自定义域实现 SSL 的文章，但都警告应用服务和应用程序网关的证书限制。

我已阅读有关 tls-sni-02 的信息，它允许将多个证书应用于单个 IP。我的想法是使用 let's encrypt 来生成 ssl 证书。我的问题是在哪里存储这些证书。我有一个类似于以下的设计：

根据azure，他们有 100 个证书的限制。我的计划是创建一个将刷新证书的服务，我的问题是它们应该存储在哪里？我对此进行了一些研究，发现有些人使用带有反向代理的 ngnix来存储在服务器上以提供证书。这对于我在存储帐户中托管证书的公共部分并告诉 azure 应用程序网关在那里查找证书以允许客户拥有自己的域名的 azure 存储帐户是否可行？这是应用网关不应该处理的问题吗？像 azure front door 这样的产品会更好地服务吗？

我很感激这里的任何指导。

标签： azuresslazure-web-app-servicelets-encryptazure-application-gateway