SB
Использовать внутренний сертификат для внутренних пользователей нельзя, правильно я понимаю?
Неправильно понимаете. Конечно же можно. Можно даже самоподписной
Size: a a a
2020 December 08
SB
Раздвоение личности😱
АП
DMitriy
Правильные делают отдельные имена для разных сервисов (mapi, smtp, pop3 и т.д.), и не настраивают ничего по именам самих серверов
Причём если организация большая то в имени прописывают регион и сервис.
АП
Использовать внутренний сертификат для внутренних пользователей нельзя, правильно я понимаю?
Можно. Главное чтобы ему внутренние клиенты доверяли.
SB
Причём если организация большая то в имени прописывают регион и сервис.
А если совсем большая, то используют геобалансировку 😁
АП
А если совсем большая, то используют геобалансировку 😁
👍
S
На haproxy в таком случае должно быть два сертификата - публичный и внутренний?
S
А если совсем большая, то используют геобалансировку 😁
Планируется использовать отдельные external url для каждой площадки.
SB
На haproxy в таком случае должно быть два сертификата - публичный и внутренний?
Смотрите документацию
SB
Планируется использовать отдельные external url для каждой площадки.
Сильно рекомендую preferred architecture прочитать. Там есть и про сертификаты и про правильный выбор доменных имён
SB
В процессе эксплуатации такие вещи может быть очень сложно поменять.
АП
На haproxy в таком случае должно быть два сертификата - публичный и внутренний?
А вы внутренних клиентов тоже через haproxy пускаете?
Насколько я помню, happoxy вообще пофиг что за ним сервис с непонятным самоподписанным или ещё каким сертификатом. Но я последний раз это шатал больше года назад и в не проде.
Насколько я помню, happoxy вообще пофиг что за ним сервис с непонятным самоподписанным или ещё каким сертификатом. Но я последний раз это шатал больше года назад и в не проде.
АП
А вообще, где то под рукой есть конфиг haproxy, где он ппосто пробрасывает запросы на backend. А выпуск сертов с let's encrypt делается на бекенде.
SB
А вообще, где то под рукой есть конфиг haproxy, где он ппосто пробрасывает запросы на backend. А выпуск сертов с let's encrypt делается на бекенде.
Вот это вредный совет. Так делать надо, только если понимаешь, что делаешь 😁
S
А вы внутренних клиентов тоже через haproxy пускаете?
Насколько я помню, happoxy вообще пофиг что за ним сервис с непонятным самоподписанным или ещё каким сертификатом. Но я последний раз это шатал больше года назад и в не проде.
Насколько я помню, happoxy вообще пофиг что за ним сервис с непонятным самоподписанным или ещё каким сертификатом. Но я последний раз это шатал больше года назад и в не проде.
Рассматриваем вариант dns балансировать внутренних клиентов, либо и внутренних и внешних haproxy. В организации Exchange только планируется к внедрению(миграция с Lotus)
S
А вообще, где то под рукой есть конфиг haproxy, где он ппосто пробрасывает запросы на backend. А выпуск сертов с let's encrypt делается на бекенде.
А как между серверами «передавать» сертификат?
АП
Вот это вредный совет. Так делать надо, только если понимаешь, что делаешь 😁
Согласен. Но вариант рабочий. Я даже разобрался как это работает пока из кучи примеров создать свой
SB
А как между серверами «передавать» сертификат?
"передавать" это что? Открытую часть с ключем распространять по серверам или что-то с клиентскими сессиями?
SB
Согласен. Но вариант рабочий. Я даже разобрался как это работает пока из кучи примеров создать свой
Есть у меня большое подозрение, что оно работать будет только с одним сервером
АП