2 つの haproxy ノード (クライアント側は HTTPS) の背後に、多数の ec2 ノード (HTTP を提供) があります。ドメイン名には 2 つの A エントリがあるため、クライアントは両方の haproxy ノードにリクエストを送信します。新しいリクエストはそれぞれ、前のリクエストとは異なる IP に送信されます。
dns-01 チャレンジを使用すると、両方の haproxy ノードでドメインの SSL 証明書を取得できます。その結果、同じドメインの 2 つのサーバーに 2 つの独立した SSL 証明書が存在することになります。
それは一般的に良い考えでしょうか? 大きな欠点はありますか? 1 つの証明書を取得して、haproxy ノード間でコピーする方がよいでしょうか?
答え1
ELB+Haproxy+Backends の使用に切り替えて、ELB で SSL ストリッピングを実行し、AWS Certificate Manager からの無料証明書を使用する必要があります。切り替えは非常に簡単で、パフォーマンスへの影響はほとんどありませんが、コストには多少影響があります。
一般的に、EV 証明書または DV 証明書でない限り、まったく同じドメインに対して複数の証明書を持つことは有害ではありませんが、Let's Encrypt を使用している場合は問題になりません。面倒なのは、対処することだけです。