Ich habe eine Reihe von EC2-Knoten (die HTTP bereitstellen) hinter zwei Haproxy-Knoten (Client-seitiges HTTPS). Es gibt zwei A-Einträge für meinen Domänennamen, sodass Clients Anfragen an beide Haproxy-Knoten senden. Jede neue Anfrage geht an eine andere IP als die vorherige.
Mit der DNS-01-Challenge kann ich auf beiden Haproxy-Knoten ein SSL-Zertifikat für meine Domäne erhalten. Dadurch gibt es zwei unabhängige SSL-Zertifikate auf zwei Servern, beide für dieselbe Domäne.
Ist das grundsätzlich eine gute Idee? Gibt es größere Nachteile? Ist es besser, ein Zertifikat zu erhalten und es zwischen den Haproxy-Knoten zu kopieren?
Antwort1
Sie sollten auf die Verwendung von ELB+Haproxy+Backends umsteigen, wobei ELB SSL-Stripping durchführt und kostenlose Zertifikate von AWS Certificate Manager verwendet. Der Wechsel sollte wirklich einfach sein und so gut wie keine Auswirkungen auf die Leistung haben, aber mit einigen Auswirkungen auf die Kosten.
Im Allgemeinen ist es nicht schädlich, mehrere Zertifikate für GENAU dieselbe Domäne zu haben, es sei denn, es handelt sich um ein EV- oder DV-Zertifikat. Da Sie jedoch Let’s Encrypt verwenden, ist das kein Problem. Es ist nur mühsam, sich darum zu kümmern.