Как обработать сертификаты SSL в мультиосновной установке OpenLDAP?
Одна возможная архитектура я рассматривал использование nginx как, frontend и это поддерживается несколькими экземплярами Лака. Было также рассмотрение добавления второго уровня основной лак к той дуге (т.е. получения по запросу лака от основного лака).
Кроме этого, необходимо рассмотреть использование CDN, как другие упомянули. В зависимости от какого Вы служите (медиа?), существуют, некоторые специализировали CDNs, которые фокусируются больше на поставке больших файлов, таких как BitGravity.
Можно создать единственный сертификат с несколькими subjectAltNames, которые будут допустимы для всех перечисленных имен хостов. Лично, вместо того, чтобы использовать самоподписанные сертификаты я предпочитаю выполнять частный CA с помощью OpenVPN легкие-rsa сценарии, для которых существует патч для поддержки subjectAltName.
-
1Это - разумное решение, но знать, что это требует, чтобы Ваши клиенты / библиотеки SSL поняли subjectAltName. " Попробуйте его и see":-) – voretaq7 5 February 2010 в 20:04
необходимо создать три сертификата:
- один для сервера 0
- один для сервера 1
- один для VIP сервера
дайте сертификат VIP сервера своим клиентам как сертификат, которому доверяют. Сервер 0 должен иметь сертификат о сервере 1, как доверяется и наоборот.
этим путем Ваши клиенты не распознают обработку отказа, и Ваши серверы независимы от сертификата VIP сервера.