Eu tenho um monte de nós ec2 (atende HTTP) atrás de dois nós haproxy (cliente voltado para HTTPS). Há duas entradas A para meu nome de domínio, portanto, os clientes enviam solicitações para ambos os nós haproxy. Cada novo pedido vai para um IP diferente do anterior.
Com o desafio dns-01, posso obter o certificado SSL para o meu domínio em ambos os nós haproxy. Como resultado, haverá dois certificados SSL independentes em dois servidores, ambos para o mesmo domínio.
Geralmente, é uma boa ideia? Há alguma desvantagem importante? É melhor obter um certificado e copiá-lo entre os nós haproxy?
Você deve usar o ELB + Haproxy + Backends, com o ELB fazendo a remoção de SSL e usando certificados gratuitos do AWS Certificate Manager. Deve ser muito fácil de mudar, com quase nenhum impacto no desempenho, mas com algum impacto no custo.
Em geral, ter vários certificados EXATAMENTE para o mesmo domínio não é prejudicial, a menos que seja um certificado EV ou DV, mas como você está usando, vamos criptografar, isso não é um problema. É apenas uma dor para cuidar.