У меня есть несколько узлов ec2 (обслуживают HTTP) за двумя узлами haproxy (клиент, обращенный к HTTPS). Для моего доменного имени есть две записи A, поэтому клиенты отправляют запросы на оба узла haproxy. Каждый новый запрос отправляется на другой IP, нежели предыдущий.
С вызовом dns-01 я могу получить SSL-сертификат для своего домена на обоих узлах haproxy. В результате на двух серверах будет два независимых SSL-сертификата, оба для одного и того же домена.
Это вообще хорошая идея? Есть ли какие-то существенные недостатки? Лучше ли получить один сертификат и копировать его между узлами haproxy?
решение1
Вам следует перейти на использование ELB+Haproxy+Backends, при этом ELB будет выполнять ssl-стриппинг, и использовать бесплатные сертификаты из AWS Certificate Manager. Должно быть очень легко переключиться, практически без влияния на производительность, но с некоторым влиянием на стоимость.
В общем, наличие нескольких сертификатов для ТОЧНО одного и того же домена не вредно, если только это не сертификат EV или DV, но поскольку вы используете let's encrypt, это не проблема. Это просто головная боль, о которой нужно позаботиться.