а почему?

Потому что изначально нужно слушать 443 порт, а там другой флоу взаимодействия клиент-сервер, думаю что редиректы будет сложно разрулить. У меня пока руки не дошли. Там глубоко нужно закопаться в тему

У нас один апи, с которым работают полностью с разных доменов.
На входе апи детектит от кого пришёл запрос, потому что его функции отличаются немного для каждого сайта.

Не совсем понял, почему ваш апи ваших сервисов не может?

Генерить же каждому сертификат - придётся. Там же вроде никак по другому центр сертификации не пропустит.

у нас изначально не выдается по домену на каждого юзера

это опционально

плюс сам апи был спроектирован так изначально, фичу с доменами запросили буквально вот недавно

Я так и подумал, что на этапе проектирования не планировалась такая фича...

Генерировать то и отдать, это ещё так, рутинная задача. А вот если апи не предусматривает запросы с других доменов...
Если нет возможности решить проблему в самом функционале, то только костылями. Например, если есть линки на статику, и они тоже должны быть с кастомного домена - конвертить фильтрами веб-сервера. И т.п.

Красиво вобщем вряд ли выйдет. Подробностей конечно не хватает, для диагноза по фото :)

Думается - придётся преобработку и постобработку запросов и ответов выносить в скрипты на встроенном в nginx js. Если нельзя/сложнее трогать сам функционал сервиса

Я даже застрял на том что чтобы вызвать того же certbot, нужны рут права, нодой рутом не хочется ничего делать, и прийдеться придумвать какой то крон скрипт который откуда то считает новые домены и получит сертификаты для них

Я пока не сложил себе схему как у вас что устроено, кто куда ходит и т.п.

В общем случае все что понял
Пользователь вводит домен
Валидируем. Если ок
Генерим сертификат
Тот кто смотрит наружу
При входящем запросе берет этот сертификат, для этого домена
Переделывает запрос, и проксирует на сервис. Сервис потому что ни от каких других доменов не может принимать запросы
Получает ответ, изменяет, если нужно в нем вхождения домена
Отправляет (шифруя сертификатом)

Если наружу смотрит сам сервис но другие домены не принимает, то - либо его дописывать, либо ставить перед ним кого-то, кто сделает работу что описана выше

Но, возможно у вас структура серверов сервисов такая, что так делать совсем неправильно, и есть частность, нюанс, которые позволят сделать все намного проще.

Сгенерить сертификат как мне видится то самое простое.
Вопрос - как корректно скормить запрос с нового домена вашему сервису, и какой ответ запрашивающей стороне будет правильным, с учётом нового домена

Редиректы, непонятно как могут разрешить два этих вопроса...

А сертификаты генерить хранить читать, то такое. Если есть редис или подобное, то по идее хоть в нем храните. Не суть важно, где как удобнее, принято, там и храните. Может и в бд

Кроном можно генерить. Можно демонизировать какой нить питон/пхп скрипт, который будет генерить, имея права. На вход ему домен и путь куда положить, в ответ - сделано/ошибка. То частности.

Спасибо за уточнения.

уточню что как бы апи может принимать запросы в теории с любых доменов, там в параметрах самого запроса указывается страницу какого магазина нужно открыть (shop_id=123 грубо говоря)

А с ответом как? Линки на статику должны содержать домен с которого пришёл запрос? Или таких не бывает у этого сервиса?

Ну там, не знаю, фоточка товара. Кто на неё линк отдаёт у вас?

Хранить лучше метадату в бд, фотку в папке с id совпадающую, тогда по пермишенам еще можно чекать будет