我在兩個 haproxy 節點(面向 HTTPS 的客戶端)後面有一堆 ec2 節點(提供 HTTP 服務)。我的網域有兩個A條目,因此客戶端向兩個haproxy節點發送請求。每個新請求都會傳送到與前一個請求不同的 IP。
透過 dns-01 質詢,我可以在兩個 haproxy 節點上取得我的網域的 SSL 憑證。因此,兩台伺服器上將有兩個獨立的 SSL 證書,並且都針對同一網域。
這通常是個好主意嗎?有什麼主要缺點嗎?取得證書並在 haproxy 節點之間複製它是否更好?
答案1
您應該切換到使用 ELB+Haproxy+Backends,其中 ELB 執行 ssl 剝離並使用來自 AWS Certificate Manager 的免費憑證。應該很容易切換,幾乎不會影響效能,但會產生一些成本影響。
一般來說,為完全相同的網域擁有多個證書並沒有什麼害處,除非它是 EV 或 DV 證書,但當您使用 Let's encrypt 時,這不是問題。只是照顧起來很痛苦。