我有两台服务器在多主镜像模式 OpenLDAP 设置中工作。
server-0.example.com、server-1.example.com 和 server-vip.example.com
server-vip.example.com 是一个浮动虚拟 IP,它将自身关联到活动节点(server-0 或 server-1)的接口上,这是一种相当常见的设置。
问题是,我在 server-0 上使用 CA 创建了一些自签名证书。两个服务器之间要互相通信,更重要的是,客户端要与 server-vip.example.com 通信,需要分发什么样的 SSL 客户端/服务器证书?
简单地复制/粘贴配置似乎不是答案,特别是因为服务器上的通用名称是唯一的,它们各自都有不同的主机名。
另外,如果 server-0 出现故障,并且 server-vip 指向 server-1,如果客户端拥有 server-0 的客户端证书,那么客户端如何才能在 SSL 范围内透明地工作?
答案1
您可以创建一个具有多个 subjectAltName 的证书,该证书将对所有列出的主机名有效。就我个人而言,我更喜欢使用 OpenVPN 运行私有 CA,而不是使用自签名证书easy-rsa脚本,其中有一个用于 subjectAltName 支持的补丁。
答案2
您应该创建三个证书:
- 一个用于server-0
- 一个用于server-1
- 一个用于服务器 VIP
将 server-vip 证书作为受信任的证书提供给您的客户端。server-0 必须将 server-1 的证书视为受信任的,反之亦然。
这样,您的客户端就不会识别到故障转移,并且您的服务器将独立于 server-vip 证书。