我有两台服务器以多主镜像模式OpenLDAP设置工作。
server-0.example.com,server-1.example.com和server-vip.example.com
server-vip.example.com是一个浮动虚拟IP,它将自己关联到主动节点(server-0或server-1)的接口上,这是一个相当常见的设置。
问题是,我在服务器0上创build了一些带有CA的自签名证书。 什么是两个服务器之间需要发生的SSL客户端/服务器证书的分配,更重要的是,客户端可以与server-vip.example.com对话?
简单地复制/粘贴configuration似乎并不是答案,特别是因为服务器上的通用名称是唯一的,它们每个都有不同的主机名。
另外,如果server-0closures,而server-vip指向server-1,那么如果客户端证书是server-0,那么客户端应该如何透明地工作?
您可以使用多个subjectAltNames创build一个证书,该证书对于列出的所有主机名都是有效的。 就个人而言,我并不是使用自签名证书,而是使用OpenVPN easy-rsa脚本运行专用CA,对此,有一个用于subjectAltName支持的补丁 。
你应该创build三个证书:
将server-vip证书作为可信证书提供给客户端。 server-0必须拥有server-1的证书,反之亦然。
这样您的客户端将无法识别故障转移,并且您的服务器独立于服务器-VIP证书。