привет! подскажите кто знает, нам нужно создавать SSL сертификаты для кастомных доменов наших клиентов. До этого испольховали Let's Encript Cetbot, сейчас мигрируем на AWS Certificate Manager, он дает возможность создавать сертификаты программно, но валидировать можно только через DNS или Email, что лишние усилия для клиента (сейчас мы можем просто в фоне выписать сертифика сертботом через http challenge). Что можно придумать в данной ситуации чтобы упростить выписываение сертификатов? Использовать API другого провайдера и импортировать сертификат в ACM? Может кто-то посоветует недорого провайдера? Cetbot тоже имеет свои ограничения и не очень вписывается в новую инфраструктуру.

для чего коммутатор, какие задачи и объемы?

Какая-нибудь тулза автоматизации типа ZennoPoster или BAS ? Хотя если только DNS с мылом, то и просто скрипт?

Я бы запили сой крипто-апи, аля EJBCA и повесил бы его рядом с АВС

а что она будет автоматизировать? у нас нет доступа к DNS клиентов. Мы говорим пропишите CNAME чтобы домен вел на нас и все. Дальше нам надо выписать SSL сертификат программно.

Проводим обновление системы. Он по зданию идет там магистраль через него проходит линия  плюс на нем седит около 40  потребителей по 1 Гб. Нагрузка по полной. Просто там раньше делинк стоял 10 лет там производительности фабрики нехватает. А у русского норм 190 Гбит/с

спасибо, посмотрю на EJBCA

Чет я там 176Вижу

Дык я почем знаю.  Я могу и импортное взять.  Просто стоит дешевле чем китайский AT.  А циско опыт у меня отрицательный он пакеты терял. Вот и интересуюсь что лучше брать?

Да Вы правы 176 по памяти писала.

IMHO c хорошими отзывами и с постоянно обновляемыми прошивками

у меня на старой работе была парочка таких, работали без проблем в отличие от китайского барахла

Вообще мне слабо верится что он столько даст, глядите на mppsЫ, в Вашем случае я бы глянул в сторону кошек 4948 например, там примерно около 150Gbps фабрика, но по функционалу и расширяемости они норм

Если бы не требование к высокой пропускной способности, я бы взял https://www.openbsd.org/octeon.html

написать софт который создает сертификат, забирает DNS записи которые нужно создать, а потом ходит по апишке и создает DNS записи где нужно

Может среди них и есть производительные, я не знаю :( зато по крайне мере не будут глючить после очередного релиза оси с багфиксом, на другие проприетарные свитчи производители нередко просто забивают после окончания времени поддержки. Или хотя бы что-нибудь на линупсе типа OpenWRT, LibreCMC и т.п.

но у нас нет доступа к DNS клиента

и если был бы, то можно было бы использовать строенную в ACM валидацию с помощью CNAME

мы хотим сделать это проще для клиента, без второй CNAME записи и лишнего ожидания

с сертботом было классно - он проверял по HTTP ведет ли домен на этот сервер, если да - просто выписывает сертификат