Ciao,

se faccio una richiesta a https://pippo.com che ha un suo certificato, grazie al CNAME mi collego a https://tenant1.custom.com che ha un altro certificato, sicuramente avrò un warning sul browser...

No, la richiesta arriva al server con lo stesso dominio indicato nella barra degli indirizzi del browser dell'utente.
Usare un record A o un CNAME sono entrambe strade valide per fare in modo che il browser sappia a quale IP collegarsi. Il CNAME non comporta alcuna "ridirezione HTTP". Anzi, il webserver non ne sa nulla di come abbia fatto il browser a sapere che pippo.com sia un sito servito da un certo IP.

un certificato per ogni dominio (es. pippo.com) collegato ad un determinato tenant

Se ogni tenant è disposto ad acquistare il certificato sì.
In alternativa potresti inserire tanti nomi a dominio in un unico certificato SAN ma non sono convinto io stesso che questa sia una buona soluzione. Ti troveresti a dover rigenerare il certificato ogni volta che si aggiunge un nuovo domino e personalmente non ho mai provato ad usare questo genere di certificato su Azure. C'è anche da dire che ogni i referenti del tenant, se vanno a curiosare tra le proprietà del certificato, vedranno che è stato emesso per tanti altri nomi a dominio che gli sono estranei.

ciao,
Moreno

Ciao, apro una parentesi...

Ho visto che Let's Encrypt può funzionare anche su Azure grazie ad una website extension.
Prova a seguire questa guida:
https://gooroo.io/GoorooTHINK/Article/16420/Lets-Encrypt-Azure-Web-Apps-the-Free-and-Easy-Way/21872#.WJYhqX9F7IU

Questo ti permetterebbe di avere certificati gratuiti per i domini dei tenant.
Let's encrypt è un servizio di emissione e rinnovo di certificati automatizzato. Se ne è parlato un po' qui (ma per IIS):
http://forum.aspitalia.com/forum/post/415184/HTTPS-Progetto-WebForms.aspx

ciao,
Moreno

ciao, ho provato Let's Encrypt, direi che funziona, posso creare ed installare certificati per il custom domain della mia webapp e per i tenant della webapp che hanno un loro custom domain

qui due link che oltre al tuo mi hanno aiutato nei vari settaggi

https://www.troyhunt.com/everything-you-need-to-know-about-loading-a-free-lets-encrypt-certificate-into-an-azure-website/

https://github.com/sjkp/letsencrypt-siteextension/wiki/How-to-install

ci sono però alcune limitazioni:

1. mi sarebbe piaciuto che per il dominio della mia webapp fosse attivabile un certificato wildcard, ma con letsencrypt non è possibile, quindi posso fare un certificato per www.pippo.com, per user1.pippo.com ma non posso farlo per *.pippo.com
questo significa che per ogni utente che si registra dovrei creare tramite l'url dell'estensione di letsencrypt un nuovo certificato apposito per il user.pippo.com
e qui c'è un altro problema: per gestire i tenant su azure ho semplicemente inserito l'host *.pippo.com, ma per gestire i certificati per i tenant dovrei invece inserire su azure tutti gli host user1.pippo.com, user2.pippo.com... (altrimenti non li trovo nell'interfaccia per creare il certificato) quindi devo fare una operazione manuale ad ogni registrazione di ogni utente

2. il certificato dura 90 giorni, non ho capito se viene rinnovato in automatico....
risposta: si il webjob si dovrebbe occupare di questo

3. 5 richieste di certificati a settimana

per i tenant che invece hanno o richiedono un dominio custom la procedura è semplice, come per la webapp; dato che comunque alla richiesta di associazione dell'utente al proprio dominio devo settare il DNS, posso creare il certificato nel momento della corretta propagazione e della associazione su Azure, in questo caso l'utente è avvisato del tempo occorrente e può attendere.

il punto 1 non mi convince, perchè devo far attendere l'utente appena registrato finchè non eseguo la procedura per il certificato e finchè non ho inserito l'host su azure...?!

quindi questa può essere una soluzione parziale, ma già buona perchè perlomeno potrei offrire sui domini custom degli utenti l'https gratuito.

per il mio dominio pricipale e tutti i suoi sottodomini ho come l'impressione che dovrò comunque comprare un certificato wildcard che copra tutto


cosa ne pensi?
grazie!

---

Modificato da teo prome il 06 febbraio 2017 13.03 -

si grazie del suggerimento!

ciao!