Eu tenho dois servidores trabalhando em uma configuração OpenLDAP de modo espelho multi-mestre.
server-0.example.com, server-1.example.com e server-vip.example.com
server-vip.example.com é um IP virtual flutuante que se associa na interface do nó ativo (server-0 ou server-1), uma configuração bastante comum.
o problema é que eu criei alguns certificados auto-assinados com uma CA no servidor-0. Qual é a distribuição dos certificados cliente / servidor SSL que precisam acontecer para os dois servidores falarem uns com os outros e, mais importante, para os clientes falarem com server-vip.example.com?
simplesmente copiar / colar configs não parece ser a resposta, especialmente porque o nome comum nos servidores é único, cada um tem nomes de host diferentes.
também, se o servidor-0 ficar inativo e o servidor-vip apontar para o servidor-1, como os clientes devem trabalhar de forma transparente até o SSL se tiverem um certificado de cliente para o servidor-0?
Você pode criar um único certificado com vários subjectAltNames que serão válidos para todos os nomes de host listados. Pessoalmente, em vez de usar certificados auto-assinados, eu prefiro executar uma CA privada usando o OpenVPN easy-rsa , para os quais existe um patch para o suporte subjectAltName .
você deve criar três certificados:
forneça o certificado server-vip aos seus clientes como certificado confiável. server-0 deve ter o certificado de server-1 como confiável e vice-versa.
Dessa forma, seus clientes não reconhecerão um failover e seus servidores serão independentes do certificado server-vip.
Tags ssl openldap ssl-certificate