以前只有一台前端 proxy 时,官方认证工具我都是装在 proxy 端的,proxy -> 源
是走 http ,现在需要多台 proxy ,那怎么处理好?在每个 proxy 都运行认证工具来取得证书应该不行吧,难道要想个办法在其中一台运行认证工具,再定时同步生成的证书到所有别的 proxy 上去?
PS. 我用的是官方工具,在 web root 下加文件的方式。
1
sneezry 2016-11-28 19:56:50 +08:00
有多台 proxy 肯定是需要在每台上都部署证书的,你说的思路应该就是通常的做法
|
2
doubleflower OP @sneezry 在每台上都运行工具来得到 /更新同一个域名的证书没有问题吗?
|
3
sneezry 2016-11-28 21:40:48 +08:00
@doubleflower 有问题啊,用一台机器更新证书,其他的机器和它同步
|
4
doubleflower OP |
5
neilp 2016-11-28 22:37:48 +08:00
用 dns 方式当然是首选了, 你可以在多个 proxy 上同时申请.
如果你用 http 回源的方式也可以. 通过 `--post-hook` 来通过 ssh 命令部署到所有的 proxy 上. |
6
zealic 2016-11-28 22:40:03 +08:00
Caddy Automatic TLS
|
7
kuretru 2016-11-28 22:41:55 +08:00
用 Certbot ,计划任务定时更新的时候顺便同步到其他服务器
|
8
sneezry 2016-11-28 23:16:46 +08:00
@doubleflower 也可以使用我写的 SSL.md ,昨天刚加的 API ,几台服务器定期去 wget 就行了,如果已签发证书过期时间距离现在不到 20 天 API 就会返回新证书,否则返回旧证书,几台服务器去抓,第一个抓到的会续签证书,后面几个得到的证书回和第一台拿到的相同,不会出现重复签发的问题。
https://www.v2ex.com/t/323677 |
9
doubleflower OP |
11
lightening 2016-11-29 03:45:49 +08:00
有上限,每周每个域名 20 个证书,每个证书可以重复 5 次。
|
12
sneezry 2016-11-29 10:06:39 +08:00 via iPhone
|