Алексей POS_troi: я бы начал с одного блейд-сервера в виртуалочной кластере и одного СХД, а там уж как дела пойдут. В предложенной конфигурации нет никакой гибкости - она не предусматривает случаев, когда мощности будет не хватать или наоборот слишком много. В любом случае, без нормального ТЗ все наши рассуждения - чистой воды кони в вакууме :)
Кек, и вы в почти что 2017-ом году предлагаете такое? Серьёзно, десять отдельных серверов, без СХД, без виртуализации, без резервирования сетевой инфраструктуры? :)
vaut: ну, тогда расскажите, какие неудобства вам принесёт установка новой убунты поверх старой? Любимые обои пропадут, что ли? Поскольку 32 бита, предполагаю, что это не продукционный сервер, а какая-нибудь рабочая станция или ноутбук...
p4s8x: Андрей: разумеется, в логах веб-сервера ничего не будет, поскольку это jdk-шная ошибка и связана она с тем, что в кейсторе клиента нет соответствующего корневого сертификата.
Дмитрий Беляев: То, что организация подтвердила своё владение сайтом, очень круто, конечно, но практическая польза от этого нулевая. Утверждают, что это делается для усложнения фишинга - но пользователь, не заметивший изменения названия домена в адресной строке так же легко не заметит и отсутствие OV-плашки. А уж про какие-то законодательные ограничения на использование организациями DV-сертификатов и вовсе первый раз слышу.
i_want_to_know_everything: а я вижу вот тут следующее - "The current development version of the Certbot client no longer prevents users from requesting punycode-formatted IDNs as part of their certificate requests (as a user interface matter)". Не знаю, правда, влили ли это уже в стабильную ветку.
i_want_to_know_everything: и каким образом тут мешает тот факт, что сертификаты летсэнкрипта выдаются на три месяца? Предполагается же, что вы их периодически обновляете, а это как раз то, что вам нужно - "один раз добавил задание в крон и забыл", даже лучше, чем трёхлетний платный сертификат.
Леонид: с точки зрения закона - лучше не ставить никакого сертификата, чтобы у товарищей из ФСБ в случае чего не возникло проблем с прослушкой трафика.
А если серьёзно, то вид сертификата не регламентируется, как и его обяхательное наличие.
Евгений Быченко: обычная контора и госконтора - это не синонимы, а совсем даже наоборот. В условиях нашей извращённой экономики использование заведомо менее выгодных решений (например, платных при наличии бесплатных той же функциональности) - это распространённое явление, но лично я этому потакать не собираюсь; отсюда и первый абзац моего предыдущего комментария. А ротацию директоров стоит ускорить, раз только после ухода кого-то на пенсию начинается внедрение актуальных технологий :)
RazorBlade: все ваши вопросы - это какой-то каменный век, честное слово. Видны костлявые руки мелкомягких.
Все нормальные веб-серверы (и nginx, разумеется) уже не первый десяток лет умеет SNI. И для Let`s Encrypt давно написана масса врапперов, самостоятельно обновляющих сертификаты сайтов - вам остаётся только добавить задание в планировщик.
virtusIV: решение - не давать клиентам ссылок на несуществующие ресурсы (в вашем случае - HTTPS-ссылок на сайты, у которых нет сертификатов) или добавить всё-таки сайтам сертификаты (Let`s Encrypt в помощь).
