로드 밸런싱될 Nginx 서버 클러스터에 대한 와일드카드 인증서를 얻기 위해 Ansible(Ansible은 실제로 질문과 관련이 없지만 전체 그림을 제공하기 위한 것임)을 사용하여 Certbot 구성을 배포하려고 합니다.심박조율기-corosync.
지금까지 내가 달성한 것:
- DNS 플러그인 사용(nsone그리고간디) 모든 Nginx 서버에서 와일드카드 인증서를 얻을 수 있습니다.
- 내 모든 Nginx는 인증서를 갱신하고
sudo certbot renew --dry-run정상적으로 실행되는 시뮬레이션을 갱신하도록 예약되어 있습니다. - 두 Nginx가 모두 실행 중이며 Let's encrypt에서 전달한 SSL 인증서를 '표시'하고 있습니다.
- 각 Nginx 서버가 SSL 인증서(해시가 다름), 241a808949dac993ea865a22ec92c3e3952cd6b8 Nginx1 및 Nginx2의 경우 82defeb9337d880f8d5380831c6527fb02c50a9b에 있음을 표시하고 있으며 이로 인해 약간 걱정됩니다.
내 질문은 다음과 같습니다
- 인증서가 서버마다 다르거나 의도적으로 설계된 경우 문제가 있습니까?
- 일정이 시작되고 인증서가 갱신되면 문제가 발생합니까?
- DNS 챌린지를 사용하면 (각 서버에서) Certbot을 사용하는 대신 서버 간에 인증서를 복사해야 합니까?
이 답변을 찾았습니다.https://serverfault.com/a/907911/606126하지만 이것이 내 질문에 대한 답인지는 확실하지 않습니다.
답변1
각 호스트에서 인증서를 갱신하면 각각 별도의 인증서를 받게 됩니다.
이 접근 방식의 단점은 서버가 너무 많으면 Let's Encrypt에 의해 속도가 제한될 수 있다는 것입니다.
다른 옵션은 하나의 호스트에서만 Certbot을 실행한 다음 인증서를 다른 호스트에 수동으로 배포하는 것입니다.
가장 쉬운 접근 방식은 Certbot 사후 검증 후크를 활용하는 것입니다. 인증서를 배포하고 인증서가 갱신된 후 서버를 구성/다시 시작하는 스크립트를 생성합니다.
https://certbot.eff.org/docs/using.html#pre-and-post-validation-hooks