Certbot para configuração multiservidor

2

Existe uma maneira de usar certificado certbot e letsencrypt para a configuração de vários servidores sem ter que copiar manualmente os certificados de um nó para outro?

Eu tenho um nome de domínio example.com , que é resolvido para 192.0.2.1 nas Américas e para 192.0.2.2 na Ásia.

Eu corro o certbot do servidor americano e ele gera certificado com sucesso. Não consigo executar o mesmo comando do servidor asiático, pois o certificado poderá resolver o domínio apenas para 192.0.2.1.

Portanto, para instalar o certificado para o servidor asiático, tenho que copiá-lo de 192.0.2.1 para 192.0.2.2.

Sim, o processo de cópia pode ser roteirizado, embora não pareça uma boa ideia para mim. Existe outro caminho?

    
por rush 10.11.2016 / 22:02

2 respostas

0

No final, usei a solução descrito aqui .

Em poucas palavras:

  1. Use um único nó para geração de certificados
  2. Use o proxy nginx para encaminhar /.well-known/ de todos os frontends para o nó da etapa 1
  3. Copiar com certificados de scripts para todos os servidores de frontend
por 17.03.2017 / 22:38
0

O problema é que você não pode saber de onde a verificação será executada.

Você tem duas soluções gerais:

  1. copie a chave cert + entre os servidores.
  2. temporariamente, seu domínio deve ser resolvido em exatamente um lugar, emitir um certificado lá, resolvê-lo para outro local e emitir um certificado lá; por fim, retorne ao seu horizonte de divisão. Você terá que repetir isso quando quiser renovar o certificado também.

A solução 2 é uma prática muito pior do que copiar sua chave cert +.

Considere como você teria resolvido isso antes do LetsEncrypt:

  • gera uma chave & CSR em algum lugar (estação de trabalho admin ou um servidor)
  • enviar o CSR para a CA
  • obtenha o certificado de volta da CA
  • pressione a tecla & cert para ambos os servidores.

A partir dessa perspectiva, pressionar a chave / certificado de um servidor para o outro não é tão ruim assim.

Isso também foi abordado anteriormente: link

    
por 16.11.2016 / 02:15