Как сделать сертификат для второго сервера?

Question

[Shandy]

Пытаюсь решить проблему с доступом к сайту из украины. Есть сервер1 он находится в России, на нем стоит сайт и dns сервер. Есть сервер2 в Финляндии, на нем нужно настроить проксирование на сервер1.
Допустим с проксированием самого на себя проблема решается добавлением в hosts записи с ip сервера1, но я пока не совсем понимаю как сделать сертификат для сервер2.
Думаю просто копировать сертификат с сервер1 на сервер2 вариант так себе. Сертификат Lets Encrypt.

spoiler

Да, по сути cloudflare решает эту проблему, но хочется немного экспериментов и свой велосипед

Answer 1

[paran0id]

На сервер2 ставите nginx и делаете proxy_pass на сервер1. DNS должен указывать на сервер2, и ssl-cертификаты для домена должны стоять на нём же. Трафик между серверами можно шифровать хоть самоподписными сертификатами.

Comments

[Shandy]

Не, план немного другой. Оба сервера работают и отдают, то есть в DNS 2 A записи

[paran0id]

Shandy, а как украинских пользователей направлять на определенный сервер? Тут явно нужен умный балансировщик, и вы либо делаете его на финском сервере, либо cloudflare.

[Shandy]

paran0id, разве браузер сам не попробует другой ip, если этот не отвечает? Или я плохо понимаю как это работает

[paran0id]

Shandy, нет, браузер запросит dns-сервер, получит один адрес, и попытается пройти по нему.

[Wexter]

paran0id, это где такое сказано?

[mureevms]

Wexter, где сказано обратное? Оно так работает.

[Shandy]

mureevms, ну так если этот ip будет недоступен, то будет выбран другой

[mureevms]

Shandy, нет. Тут два варианта:
1. Если IP попадется от финского сервера, то все ок, запрос будет отправлен на него
2. Если IP будет от русского, то запрос прервется по таймауту. При следующем запросе (обновлении странички) запрос так же отвалится по таймауте, потому что DNS кэшируется в браузере

Затем после очистки кэша все пойдет по такому же сценарию

Скажите лучше, что вы хотите сделать просто словами. Не то, как вы решаете задачу, о чем написано, а то, что хотите сделать, тогда можно будет предложить варианты, а так только те, что есть

[mureevms]

если этот ip будет недоступен, то будет выбран другой

Если я правильно понял, тут вы имеете ввиду балансировщик запросов, но в вопросе пишите про DNS. В первом случае утверждение верно, во втором - нет

[Shandy]

mureevms, хочу чтобы доступ был из украины и из россии. да, можно сделать тупо на финляндии, но тогда у русских будет больше пинг и все дела.

нет.

Тогда в чем вообще смысл нескольких A записей. По вашим словам они нафиг не нужны, все равно же уткнется если один будет недоступен.

[mureevms]

Shandy, сейчас попробую объяснить

[mureevms]

Shandy,
Судя по всему, вы путаете балансировку HTTP и DNS запросов. Хотя оба используются для балансировки нагрузки или для обеспечения доступности, у них есть принципиальные отличия.

DNS балансировка работает так, что при запросе он попадает на один из А серверов, на каждом из которых (в простом варианте) должен располагаться один и тот же сайт. При этом, в вашем случае это сайт, но совершенно не важно что там, до запроса по определенному протоколу речь еще не дошла. Т.е. существует несколько хостов с разными IP адресами, которые обрабатывают одинаковые запросы. Если один из них выходит из строя, и если он существует в DNS, то и на него тоже шлются запросы. Получается, на примере скрина выше, если у вас 4 А записи, и одна нода вышла из строя, то примерно четверть запросов будет валиться с ошибкой. DNS ничего не знает ни про географию, ни про про доступность сервиса, он лишь почти рандомно указыват на какой из IP слать запрос. Другими словами, несколько А записей в DNS значит, что при определении IP адреса хоста выбирается один, почти случайный, из представленного списка. Называется это round robin DNS.

То, о чем говорите вы, это уже более высокоуровневый запрос, который обрабатывается на хосте, на который пришел запрос по определенному протоколу после выбора IP адреса в DNS

Тогда в чем вообще смысл нескольких A записей.

В том, чтобы распределить нагрузку на уровне количества обращений к серверу. При этом все хосты, перечисленные в А записях, должны быть живы

[paran0id]

Wexter, всё уже объяснил mureevms, от себя добавлю, что не раз видел такую ситуацию живьём (один из серверов, на которые указывает домен, недоступен), и ничего браузер сам не выбирает.

Answer 2

[AUser0]

Сертификат выдаётся для домена. Если оба сервера обслуживают один и тот же домен - копируйте его на оба сервера. Ну и proxy_pass со второго на первый, конечно.

Если домены разные - делаете под них сертификаты, и копируете на соответствующие сервера, логично же. Хотя нет, на первом сервере сертификат со второго тоже нужен, файлы то на нём.

Comments

[Shandy]

В DNS добавляю оба адреса и всё будет работать как я думаю или нет?

[AUser0]

Shandy, да.