Estoy intentando implementar usando Ansible (Ansible no es realmente relevante para la pregunta, pero es solo para brindar una imagen completa) la configuración de Certbot para obtener certificados comodín para un grupo de servidores Nginx que tendrán equilibrio de carga.marcapasos-corosync.
Lo que he logrado hasta ahora:
- Usando complementos DNS (nsonygandí) puedo obtener mis certificados comodín en todos mis servidores Nginx
- Todos mis Nginx están programados para renovar los certificados y renovar la simulación y
sudo certbot renew --dry-runse ejecutan bien. - Ambos Nginx están en funcionamiento y están 'mostrando' el certificado SSL entregado por let's encrypt
- Me di cuenta de que cada servidor Nginx muestra que está en un certificado SSL (su hash es diferente), 241a808949dac993ea865a22ec92c3e3952cd6b8 Nginx1 y 82defeb9337d880f8d5380831c6527fb02c50a9b para Nginx2 y esto me preocupa un poco.
Mis preguntas son:
- ¿Hay algún problema si los certificados son diferentes en cada servidor o es por diseño?
- ¿Tendré algún problema cuando entre el cronograma y se renueven mis certificados?
- Al usar el desafío DNS, ¿todavía necesito copiar los certificados entre servidores en lugar de usar Certbot como lo estoy haciendo (en cada servidor)?
he encontrado esta respuestahttps://serverfault.com/a/907911/606126pero no estoy muy seguro de que esto responda a mis propias preguntas.
Respuesta1
Si renueva el certificado en cada host, cada uno obtendrá un certificado independiente.
La desventaja de este enfoque es que Let's Encrypt puede limitar la velocidad si tiene demasiados servidores.
La otra opción es ejecutar Certbot solo en un host y luego distribuir el certificado a los otros hosts manualmente.
El enfoque más sencillo es utilizar los ganchos de validación posterior de Certbot. Creará un script que distribuirá certificados y configurará/reiniciará sus servidores después de renovar el certificado.
https://certbot.eff.org/docs/using.html#pre-and-post-validation-hooks