我有两台服务器在多主镜像模式 OpenLDAP 设置中工作。
server-0.example.com、server-1.example.com 和 server-vip.example.com
server-vip.example.com 是一个浮动虚拟 IP,它与活动节点(server-0 或 server-1)的接口相关联,这是一种相当常见的设置。
问题是,我在 server-0 上创建了一些带有 CA 的自签名证书。两台服务器相互通信,更重要的是,客户端与 server-vip.example.com 通信需要分发什么 ssl 客户端/服务器证书?
简单地复制/粘贴配置似乎不是答案,特别是因为服务器上的公用名是唯一的,它们每个都有不同的主机名。
此外,如果 server-0 出现故障,并且 server-vip 指向 server-1,那么如果客户端拥有 server-0 的客户端证书,那么客户端应该如何透明地工作?
您可以创建一个具有多个 subjectAltNames 的证书,该证书对列出的所有主机名都有效。就个人而言,我更喜欢使用 OpenVPN easy-rsa脚本运行私有 CA,而不是使用自签名证书,其中有一个用于 subjectAltName 支持的补丁。
您应该创建三个证书:
将 server-vip 证书作为可信证书提供给您的客户端。server-0 必须将 server-1 的证书作为受信任的证书,反之亦然。
这样,您的客户端将无法识别故障转移,并且您的服务器独立于 server-vip 证书。