Назад | Перейти на главную страницу

Настройка SSL с резервным подключением

Моя ситуация:

Я хотел бы знать, нужно ли мне покупать два сертификата SSL (потому что мы подключаемся к обоим one.server.example.com и two.server.example.com), или если одного будет достаточно, потому что one.server.example.com и two.server.example.com это просто псевдонимы server.example.com.

Кроме того, если это не «рекомендуемый» способ настройки таких вещей, сообщите мне. Никогда раньше этого не делал ..

Есть несколько способов обойти это:

  1. Получите подстановочный сертификат: это позволяет использовать любое количество основных поддоменов, однако это может быть немного дорого.

  2. Имена ALT в сертификате: альтернативные имена в сертификатах обычно являются более дешевым вариантом, который позволяет вам указать разрешенные домены / поддомены, разрешенные для использования в сертификате

  3. Если это только серверная (не общедоступная) служба на сервере B, вы можете быть своим собственным центром сертификации и установить соответствующее доверие сертификации на сервере A. Это в значительной степени бесплатно, но требует немного больше работы?

Кажется, вы неправильно реализовали аварийное переключение. Здесь вы просто используете два IP-адреса на одном сервере и указываете на него два доменных имени. Если server B выходит из строя, где избыточность?

Взгляните на мосты маршрутизаторов и реализации VRRP, такие как оставайся живым.

После этого, если вы хотите разместить несколько доменных имен на одном IP-адресе с использованием VRRP за сценой, решение исходит из поддержки подключения на стороне клиента: поддерживает ли оно расширение TLS SNI, поддерживает ли оно расширение X509 SubjAltName или не. Самым общим решением, конечно же, является использование подстановочного сертификата.