У меня есть пара «кластеров» серверов RHEL — я бы назвал их слабосвязанными; они запускают артефакты, и артефакты сами по себе связывают их вместе, а не связаны на уровне ОС, у которых были новые сертификаты TLS, выпущенные нашим внутренним центром сертификации (они обращены внутрь, но все еще используют TLS). Один кластер находится в нашем домене «prod», а другой — в «devtest», что довольно типично для таких вещей.
У нас недавно были некоторые изменения, и сертификаты были недействительны и так далее. Я успешно установил новые корневые и промежуточные сертификаты (используя update-ca-trust). Часть этого процесса заставила меня перезапустить службу nginx, поэтому я предполагаю, что это также играет определенную роль.
У меня есть новые сертификаты SAN, предназначенные для того, чтобы кластеры могли работать за балансировщиком нагрузки. Этот балансировщик нагрузки вообще не работает с TSL. Он настроен правильно и полностью вне моего контроля.
Мой вопрос, на который мне было очень трудно найти ответ, поэтому возникает вопрос: как установить сертификат SAN? У меня есть ключ и сертификат и т.д.
Сбивающий с толку элемент этого процесса заключается в том, что весь входящий и исходящий трафик доменов, на которых работают мои серверы, проходит через прокси. Этот прокси фактически повторно сертифицирует сертификат сервера, чтобы он соответствовал правильной цепочке доверия.Повторяется ли один и тот же сертификат/процесс на каждом сервере в «кластере»?
На мой взгляд, это означает, что цепочка сертификатов может быть ненужной. Я также не знаю, как создать эту цепочку, так как я не получил цепочку с новым сертификатом (но у меня есть новый корневой и промежуточный сертификат, как упоминалось ранее)
Чтобы сделать ситуацию немного более ограниченной, я не контролирую ничего, кроме процесса установки сертификатов.
Будем очень благодарны любой помощи.
