Você deve emitir novos certificados com subjectAlternitiveNames e apontar o registro do DNS para esse nome em um balanceador de carga.
- A) Desativar a verificação de certificados abre você para o MITM. A vantagem é que um canal criptografado não pode ser passado passivamente. É mais trabalho para o MITM um canal criptografado, mas não é muito mais. Se você não é de alto valor e não opera através da Internet sem fio ou aberta (em oposição a um link de VPN), desligar a verificação de certificado não é muito arriscado, mas não o faça. Fazer as coisas da maneira certa é quase tão fácil.
- B) Sim, os servidores precisarão de um subjectAlternitiveName ou (e não faça isso) um subjectName curinga. No entanto , o FreeIPA faz sua própria PublicKeyInfrastucture (PKI), ou seja, você tem sua própria Autoridade de Certificação (CA) autoassinada, em vez de uma coleta de certificados auto-assinados. Isso significa que você só precisa gerar e substituir os certificados dos servidores FreeIPA (aqueles usados pelo LDAP). O certificado da CA usado para assinatura (que é o certificado implantado em todas as suas máquinas) permanece o mesmo, portanto, não há necessidade de tocar em nenhuma outra máquina. Além disso, você não precisa das chaves privadas dos servidores, apenas dos certificados públicos.
- C) Veja o topo, A e B são justificação.