Как заставить несколько блейд-серверов загружаться и читать с одного и того же образа без необходимости иметь локальные диски?
Я вроде как научный компьютер (много внимания на быстрых процессорах для распределения больших вычислений, таких как моделирование физики и оптимизация алгоритмов, обработка сигналов, изображений и видео и т. д.) типа парня, который плохо знаком с работой с серверами и хотел бы узнать больше.
В принципе, если бы у меня был Блейд-центр с 8 или 16 идентичными блейд-машинами (только у одной или ни одной из них есть жесткий диск) можно ли удаленно загрузить все остальные с этого одного жесткого диска или какого-либо другого центрального диска? Или может быть так, что они как-то делят все диски. Могу ли я (сам) сгенерировать сертификат для поддомена на основе сертификата и ключа основного домена, которые выдаются для поддоменов с подстановочными знаками?
Практика здесь такова, что мне нужно настроить новый, совершенно другой и удаленный (физически) сервер всего за один поддомен, и я хочу свести к минимуму риск взлома основного сертификата и ключей, на всякий случай.
могу ли я сделать это с помощью утилиты openssl, предоставляющей мой основной домен, сертификат с подстановочными знаками и ключи, или ЦС должен снова подать в отставку? Если можно, то как?
Спасибо
Во-первых, я согласен с тем, что распространять групповые сертификаты - плохая идея. Лучше всего использовать либо отдельные сертификаты (когда домены находятся на разных серверах или виртуальных хостах), либо сертификаты SAN (когда все они находятся в одном месте).
Однако у вас не должно быть возможности использовать существующие сертификат для подписи сертификата субдомена. Сертификаты SSL обычно выдаются с ограничением того, как их можно использовать. Если вы запустите openssl x509 -in /path/to/cert.pem -noout -text , вы увидите часть, похожую на
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
. Это означает, что сертификат можно использовать только для аутентификации веб-сервера. или клиент. Его нельзя использовать для подписания других сертификатов (или, по крайней мере, ни один клиент не будет доверять сертификату, подписанному этим сертификатом).
Причина, по которой вы не можете сделать это, заключается в том, что в настоящее время ЦС не может выпускать сертификат, который можно использовать для подписи других сертификатов только в данном домене. Следовательно,если доверенный центр сертификации предоставит вам сертификат, который вы можете использовать для подписи других сертификатов, они фактически предоставят вам возможность выдавать себя за любой другой сайт в Интернете. Это было бы плохо, поэтому они этого не делают.