Executamos um aplicativo SaaS grande e ish hospedado em clusters do Windows 2008R2 / IIS7.5 atrás de um cluster de dispositivo de rede F5.
Hoje, oferecemos branding com marca branca aos clientes por meio de CNames personalizados ( sua empresa . nosso-dominio.com.br ).
Gostaríamos de oferecer a possibilidade de um cliente especificar seu próprio nome de domínio para a rotulagem branca (www. seu-domínio.com ) para um domínio que ele já possui.
Ao fazer com que o cliente configure um registro A ou CNAME em seu próprio servidor DNS, apontando para um IP que especificamos, nossas máquinas do IIS recebem a solicitação - mas como todo o aplicativo SaaS deve ser executado por SSL, estamos um pouco confusos sobre a melhor forma de proceder.
Atualmente, não descarregamos o tratamento de SSL nos dispositivos F5 e, em vez disso, as máquinas do IIS lidam com SSL. Nossos certificados corporativos estão sendo carregados nas lojas em cada servidor IIS do Windows e configurados lá.
Estamos procurando uma abordagem de "melhor prática" para permitir que um cliente configure seu domínio personalizado com SSL ativado.
Atualmente, nossa melhor ideia seria fazer com que o cliente enviasse um PEM contendo suas principais informações por meio de seu painel de administração em nosso SaaS e, depois, adicionaríamos o certificado programaticamente a cada máquina Windows e configuração do IIS conforme necessário. Isso para mim parece ser um problema de segurança, já que isso não significa que o cliente é forçado a compartilhar sua chave privada conosco? (Não sou muito strong em criptografia assimétrica, então percebo que posso estar errado nessa parte).
Esta é uma prática recomendada em sites que permitem domínios personalizados? Existe uma opção melhor? Também estamos cientes de que nossa infra-estrutura F5 permite o descarregamento de SSL - se alguém estiver familiarizado com essa solução e souber de algo que possamos aproveitar lá.
Obrigado a todos pela ajuda.