反向代理和证书更新策略

反向代理和证书更新策略

我正在将一台拥有多个(Apache)网站的机器迁移到一台新机器上,我希望在新机器上有一个前端(我已经选择了nginx)充当反向代理,还有许多小型lxc虚拟机,每个虚拟机专用于一个特定的网站。

这运行得很好,http但我现在遇到了证书更新问题:我对大多数具有自动更新功能的网站使用 certbot/letsencrypt,但反向代理不知道这些证书。

以下是我看到的解决方案:

  • cron证书副本(我不喜欢这个想法,因为我觉得它很脆弱——权限、更新失败等等)
  • 在反向代理上安装证书(仅此而已),并http与各个网站建立简单连接。此解决方案具有许多优点:所有证书都位于同一位置,新服务的部署简单等。

这是个好的解决方案吗?它能与 Wordpress 配合使用吗(Wordpress 在 URL 方面真的很棘手)?

相关内容