У меня есть куча узлов ec2 (обслуживающих HTTP) за двумя узлами haproxy (клиент работает с HTTPS). Для моего доменного имени есть две записи A, поэтому клиенты отправляют запросы на оба узла haproxy. Каждый новый запрос отправляется на другой IP-адрес, чем предыдущий.
С вызовом dns-01 я могу получить сертификат SSL для своего домена на обоих узлах haproxy. В результате на двух серверах будет два независимых сертификата SSL, оба для одного домена.
Это вообще хорошая идея? Есть ли серьезные недостатки? Лучше получить один сертификат и скопировать его между узлами haproxy?
Вам следует переключиться на использование ELB + Haproxy + Backends, при этом ELB выполняет удаление ssl и использовать бесплатные сертификаты из AWS Certificate Manager. Должно быть действительно легко переключиться, практически не влияя на производительность, но с некоторым влиянием на стоимость.
В общем, наличие нескольких сертификатов ТОЧНО для одного и того же домена не вредно, если только это не сертификат EV или DV, но, поскольку вы используете шифрование, это не проблема. Это всего лишь боль, о которой нужно заботиться.