Per prima cosa, imposta il tuo CN su FQDN (che è quello che dovrebbe essere in primo luogo), quindi non importa quale indirizzo IP è attivo. In secondo luogo, è possibile utilizzare certs interni se si desidera, questa è un'opzione, tuttavia questo deve essere estremamente bloccato e segmentato.
In genere quello che farei per qualcosa del genere è una delle due soluzioni, a seconda di ciò che era a mia disposizione:
- Utilizzare certificati firmati internamente sul back-end e sul proxy inverso, utilizzare 1 certificato acquistato con il numero corretto di "unità" di server frontend. Il bonus qui è che hai chiavi separate, quindi se uno è compromesso non sei compromesso fino in fondo. Hai anche la possibilità di scaglionare le date di scadenza in modo che, se si raggiunge la scadenza, puoi portarlo fuori dal gruppo (mantenere l'uptime dell'app) mentre aggiorni tutti i certificati. Assicurarsi che il proxy inverso abbia la data di scadenza più recente.
- Ottenere una CA esterna per firmare il certificato e copiare il certificato / chiave dal proxy inverso ai server di back-end. Qui hai una chiave in più punti, quindi se è compromessa, sei compromesso per tutto il percorso. Inoltre, se il certificato scade, scade allo stesso tempo ovunque, ma devi ancora aggiornarlo ovunque quando ricevi un nuovo certificato. Questo non è sempre legittimo, ma a VerSign non importava. Ci sono anche diversi costi a seconda dell'utente del server (attivo / passivo, primario / DR, attivo / attivo, ecc.) Quindi assicurati di discutere con la tua CA.