我在两个 haproxy 节点(面向客户端的 HTTPS)后面有一堆 ec2 节点(服务 HTTP)。我的域名有两个 A 条目,因此客户端会向两个 haproxy 节点发送请求。每个新请求都会发送到与前一个请求不同的 IP。
使用 dns-01 challenge,我可以在两个 haproxy 节点上获取我的域的 SSL 证书。因此,两台服务器上将有两个独立的 SSL 证书,均用于同一个域。
这通常是一个好主意吗?有什么重大缺点吗?获取一个证书并在 haproxy 节点之间复制它是否更好?
答案1
您应该改用 ELB+Haproxy+Backends,ELB 执行 SSL 剥离并使用 AWS 证书管理器的免费证书。应该很容易切换,几乎不会影响性能,但会有一些成本影响。
一般而言,拥有完全相同的域的多个证书不会造成任何危害,除非是 EV 或 DV 证书,但由于您使用的是 let's encrypt,所以这不是问题。只是处理起来很麻烦。