Estou tentando implantar usando Ansible (Ansible não é realmente relevante para a questão, mas é apenas para dar uma visão geral) da configuração do Certbot para obter certificados curinga para um cluster de servidores Nginx que terão balanceamento de cargamarcapasso-corosync.
O que consegui até agora:
- Usando plug-ins DNS (nsoneeGandi) consigo obter meus certificados curinga em todos os meus servidores Nginx
- Todos os meus Nginx estão programados para renovar certificados e renovar a simulação com
sudo certbot renew --dry-runexecução correta - Ambos os Nginx estão funcionando e 'mostrando' o certificado SSL entregue por vamos criptografar
- Percebi que cada servidor Nginx mostra que está no certificado SSL (seu hash é diferente), 241a808949dac993ea865a22ec92c3e3952cd6b8 Nginx1 e 82defeb9337d880f8d5380831c6527fb02c50a9b para Nginx2 e isso me preocupa um pouco.
Minhas perguntas são:
- Existe algum problema se os certificados forem diferentes em cada servidor ou se isso for intencional?
- Terei algum problema quando o cronograma entrar em vigor e meus certificados forem renovados?
- Usando o desafio DNS, ainda preciso copiar os certificados entre servidores em vez de usar o Certbot como estou fazendo (em cada servidor)
Eu encontrei esta respostahttps://serverfault.com/a/907911/606126mas não tenho certeza se isso responde às minhas próprias perguntas.
Responder1
Se você renovar o certificado em cada host, cada um receberá um certificado separado.
A desvantagem dessa abordagem é que você pode obter uma taxa limitada pelo Let's Encrypt se tiver muitos servidores.
A outra opção é executar o Certbot apenas em um host e depois distribuir o certificado para os outros hosts manualmente.
A abordagem mais fácil é utilizar ganchos de pós-validação do Certbot. Você criará um script que distribuirá certificados e configurará/reiniciará seus servidores após a renovação do certificado.
https://certbot.eff.org/docs/using.html#pre-and-post-validation-hooks