У меня есть два сервера, работающих в режиме настройки OpenLDAP с несколькими главными зеркалами.
server-0.example.com, server-1.example.com и server-vip.example.com
server-vip.example.com - это плавающий виртуальный IP-адрес, который присоединяется к интерфейсу активного узла (server-0 или server-1), довольно распространенная настройка.
проблема в том, что я создал несколько самоподписанных сертификатов с CA на сервере 0. каково распределение SSL-сертификатов клиент / сервер, которое должно произойти, чтобы два сервера могли разговаривать друг с другом и, что более важно, чтобы клиенты говорили с server-vip.example.com?
простое копирование / вставка конфигураций, похоже, не является ответом, тем более что общее имя на серверах уникально, у каждого из них разные имена хостов.
кроме того, если server-0 выходит из строя, а server-vip указывает на server-1, как клиенты должны прозрачно работать в рамках SSL, если у них есть сертификат клиента для server-0?
Вы можете создать один сертификат с несколькими subjectAltNames, который будет действителен для всех перечисленных имен хостов. Лично я предпочитаю запускать частный ЦС с использованием OpenVPN, а не использовать самозаверяющие сертификаты. easy-rsa скрипты, для которых есть патч для поддержки subjectAltName.
вам нужно создать три сертификата:
предоставьте сертификат server-vip своим клиентам в качестве доверенного сертификата. server-0 должен иметь сертификат server-1 как доверенный, и наоборот.
таким образом ваши клиенты не распознают аварийное переключение, а ваши серверы не зависят от сертификата server-vip.