Am câteva „clustere” de server RHEL - le-aș numi slab cuplate; ele rulează artifactory și artifactory în sine le leagă împreună, mai degrabă decât să fie cuplate la nivel de sistem de operare - care au avut noi certificate TLS emise de CA nostru intern (acestea sunt orientate spre interior, dar încă folosesc TLS). Un cluster este în domeniul nostru „prod”, iar celălalt în „devtest” - așa cum este destul de tipic pentru astfel de lucruri.
Am avut recent unele modificări și certificatele nu erau valide și așa mai departe. Am instalat cu succes noile certificate rădăcină și intermediare (folosind update-ca-trust). O parte a acestui proces m-a făcut să repornesc serviciul nginx, așa că presupun că acesta joacă, de asemenea, un rol.
Am noi certificate SAN menite să permită clusterelor să funcționeze în spatele unui echilibrator de încărcare. Acest echilibrator de încărcare nu funcționează deloc TSL. Este configurat corect și total scapă de sub controlul meu.
Întrebarea mea și mi-a fost foarte greu să găsesc un răspuns, de unde întrebarea este cum instalez certificatul SAN? Am o cheie și un certificat, etc...
Elementul de confuzie al acestui proces este că tot traficul din și dinspre domeniile pe care rulează serverele mele trece printr-un proxy. Acest proxy re-certifică de fapt certificatul serverului, astfel încât să se potrivească cu lanțul corect de încredere.Se repetă același certificat/proces pe fiecare server din „cluster”?
În opinia mea, asta înseamnă că lanțul de certificate ar putea fi inutil. De asemenea, nu știu cum să creez acel lanț, deoarece nu am primit un lanț cu noul certificat (dar am un nou certificat rădăcină și intermediar, așa cum am menționat mai devreme)
Pentru a restrânge lucrurile puțin, nu am control asupra nimicului, în afară de procesul de instalare a certificatelor.
Orice ajutor ar fi foarte apreciat.
