Meu cenário é que hospedamos vários sites para clientes e todos os sites de clientes são executados somente em SSL.
Atualmente, temos um arquivo host virtual separado para cada cliente para o Apache. Cada arquivo é praticamente o mesmo, exceto o nome do servidor / alias e a parte de configuração ssl. O restante da configuração é basicamente apenas algumas declarações de proxy reverso para informar ao apache para finalizar o ssl e depois passar o tráfego para o IIS de back-end (site .net). Nota: todos os sites são executados no mesmo IP, portanto, o SNI é usado e parece funcionar bem (sem compliances, até o momento, o que é bom).
A outra principal função que temos é que o cliente é capaz de entrar em seu 'portal do cliente' (nosso site) e gerar um CSR para ir a um terceiro para obtê-lo assinado e retornar o certificado para nós. Quando eles geram o CSR, mantemos as chaves privadas no servidor.
O problema é que:
1) É difícil manter um arquivo host virtual separado para cada cliente, considerando que a maior parte do arquivo é a mesma entre eles. (Também os limites do descritor de arquivo estão se tornando um problema)
2) O cliente pode alterar seu SSL a qualquer momento. Ou seja eles podem ter apenas 2 meses no certificado e, portanto, desejam fazer login na conta, obter um novo CSR e alterar seu certificado SSL em 2 meses. O problema surge que eu preciso fazer um 'restart' no apache para recarregar os certificados. Lembre-se de que todos os sites são executados no mesmo servidor da Web, portanto, o reinício afetará todos eles.
Portanto:
1) Estou pensando em mudar para o 'Host virtual de massa dinamicamente configurado' para o Apache, no entanto, de acordo com este site aqui , o seguinte é declarado:
" terminação SSL não é possível no servidor, a menos que todos os domínios hospedados dinamicamente sejam subdomínios cobertos por um certificado SSL de subdomínio curinga "
Cada site, no entanto, é seu próprio domínio e não apenas subdomínios.
Existe uma maneira de conseguir essa hospedagem em massa com o uso dinâmico de SSL no Apache. Se não (o que eu acho que é o caso), o que posso colocar 'infront' do apache para terminar a conexão SSL que não requer reinicializações? (Ele precisa ter alguma maneira de alterar o certificado, mas não afeta os outros sites que são executados no mesmo IP / Webserver)
Ou seja. (HAProxy / Pound / outro ??) - > Apache - > IIS