[Eisfair] Mehrere Server mit einem Zertifikat?

Marcus Röckrath marcus.roeckrath at gmx.de
Mo Apr 17 19:37:45 CEST 2023 

Hallo Rolf,

Rolf Bensch wrote:

> ich überlege Teile meines Eis (z.B. Mail) auf einen 2. Server zu packen.
> Auf dem 1. Eis verbleiben dann Apache, Fileserver und Kleinkram. Nach
> einer Trennung benötigen beide Server ein Zertifikat für die gleiche
> Domain (www.myDomain.de und mail.myDomain.de). Dehydrated managed derzeit
> die Zertifikate mail.myDomain.de und www.myDomain.de. Weil dafür ein Port
> 80-Server erforderlich ist, bietet sich für diese Aufgabe der 1. Server
> an. Das certs-Paket auf diesem Server erstellt dann auch die Links für
> exim, imap und pop3. Mein Problem: wie bekomme ich diese Zertifikate auf
> den 2. Server? Indem dort auch ein dehydrated und certs-Paket für
> mail.myDomain.de läuft? Wie bringe ich das meinem Router bei? Mit
> entsprechenden Hook-Scripts?
> 
> Wie macht ihr das?

Garnicht, denn ich habe keine von außen erreichbaren Server.

Falls beide Server auf den gleichen Namen hören, wären getrennte Zertifikate
auf den beiden Servern kontraproduktiv.

Ein "Kunde" würde ja mal das Zertifikat des einen und dann das des anderen
Servers bekommen, worauf auf dem Kundenrechner ständig die Warnung
erscheinen würde, dass sich das Zertifikat geändert habe, ...

Wir kennen dieses Zertifikatsspielchen von so manchem Provider, auch der
Telekom, die auf ihren Serverfarmen immer Zeit brauchen, ein neues
Zertifikat auf allen Servern auszurollen und man da ständig mal das vorige
mal das neue Zertifikat erhält.

Ein Zertifikat weist doch eine Domain aus, nicth unbedingt genau einen
Rechner. Der "Kunde" weiß doch garnicht, wie du vom Router aus, die
einzelnen Dienst auf die zuständige Maschine verteilst.

Ich würde also auf einem Server das Zertifikatshandling machen, und dann
jeweils per scp die Zertifkate auf die anderen Kisten verteilen, was im
Falle von certs-dehydrated doch sogar automatisiert über einen Hook
passieren könnte.

Falls ich hier jetzt auf dem falschen Dampfer bin, darf man mich auch gerne
korrigieren.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair