No passado, consegui deixar as peculiaridades dos certificados SSL para outros, dependendo principalmente de certificados autoassinados. Esse dia chegou ao fim.
Preciso intensificar e configurar um cluster de servidores seguro, mas não com airgap (ele pode alcançar, mas nada pode entrar) construído em torno do RHEL/CentOS com certificados SSL validados. Não há servidor web (nginx, apache, etc) em nenhuma das máquinas, apenas invocações de serviços de aplicativos internos via SSL.
Confirmei empiricamente que certificados autoassinados não são aceitos pelo software.
Todas as ferramentas que encontrei até agora exigem que o servidor seja exposto (suponho que à autoridade de assinatura da CA para confirmar sua autenticidade), mas por design não temos nenhum caminho do mundo externo para o cluster que está sendo protegido.
Se fizer diferença, estou tentando obter certificados em zerossl.com. Mas eu realmente não me importo de onde eles vêm.
Minha tentativa mais recente foi esta:
acme.sh --issue -d dev-9-myserver.mydomain.com --standalone --debug
O resultado final da ferramenta indica que o status está pendente, antes de atingir o tempo limite após 30 tentativas.
Não podemos ser as únicas pessoas no mundo que aplicam certificados SSL a sistemas que não estão expostos à Internet, por isso estou procurando alguma orientação.
Quais ferramentas estão disponíveis para obter certificados de uma CA para um sistema isolado/airgapped?
Agradeço antecipadamente!
Uma maneira possível é usar os chamados certificados curinga. Esse certificado funcionará em todas as máquinas do seu domínio (mas não em subdomínios). Este certificado deverá ser emitido a partir da máquina, acessível via internet (para validação) ou via interface web da AC. Você pode usar esta página como referência (os detalhes dependem da sua CA).
PS Conforme comentário, o comando usado pode ser: