Como lidar com certificados SSL em uma configuração OpenLDAP multi-master?

2

Eu tenho dois servidores trabalhando em uma configuração OpenLDAP de modo espelho multi-mestre.

server-0.example.com, server-1.example.com e server-vip.example.com

server-vip.example.com é um IP virtual flutuante que se associa na interface do nó ativo (server-0 ou server-1), uma configuração bastante comum.

o problema é que eu criei alguns certificados auto-assinados com uma CA no servidor-0. Qual é a distribuição dos certificados cliente / servidor SSL que precisam acontecer para os dois servidores falarem uns com os outros e, mais importante, para os clientes falarem com server-vip.example.com?

simplesmente copiar / colar configs não parece ser a resposta, especialmente porque o nome comum nos servidores é único, cada um tem nomes de host diferentes.

também, se o servidor-0 ficar inativo e o servidor-vip apontar para o servidor-1, como os clientes devem trabalhar de forma transparente até o SSL se tiverem um certificado de cliente para o servidor-0?

    
por imaginative 03.02.2010 / 19:56

2 respostas

2

Você pode criar um único certificado com vários subjectAltNames que serão válidos para todos os nomes de host listados. Pessoalmente, em vez de usar certificados auto-assinados, eu prefiro executar uma CA privada usando o OpenVPN easy-rsa , para os quais existe um patch para o suporte subjectAltName .

    
por 04.02.2010 / 14:41
0

você deve criar três certificados:

  • um para o servidor 0
  • um para o servidor 1
  • um para server-vip

forneça o certificado server-vip aos seus clientes como certificado confiável. server-0 deve ter o certificado de server-1 como confiável e vice-versa.

Dessa forma, seus clientes não reconhecerão um failover e seus servidores serão independentes do certificado server-vip.

    
por 04.02.2010 / 13:47