Utiliser certbot/lets-encrypt avec l'équilibrage de charge DNS?

Question

Je crée plusieurs gouttelettes pour mon site web (mise à l'échelle en charge), donc mon DNS ressemble à quelque chose comme ceci:

www.somesite.com A 1.2.3.4 
www.somesite.com A 6.7.8.9 

Est-il même possible d'obtenir un certificat pour le même domaine pour plus d'un IP?

J'utilise certbot --apache --email=admin@domain -d www.domain pour installer mes certificats mais il échoue après la deuxième gouttelette.

P.S. Je sais que DO offre un équilibreur de charge, mais je ne peux pas l'utiliser pour le moment

Answer 1

Les défis tls-sni-01 ou http-01 ne fonctionnera pas parce que vous ne pouvez pas prédire le serveur sur lequel la demande de letsencrypt atteindra.

Vous pouvez utiliser le challenge DNS sur un serveur unique, puis rsyncer le certificat résultant sur l'autre serveur. En utilisant certbot, vous pouvez utiliser la ligne de commande --preferred-challenges dns, puis ajouter l'entrée TXT au domaine

Answer 2

Cela ressemble à une limitation de certbot. Vous avez probablement un moyen de déployer votre site sur ces IP multiples; Utilisez maintenant la même méthode pour déployer le défi sur ces IP multiples. Peu importe si cela prend une heure, LE est patient. Si certbot peut vous aider, je ne sais pas, mais il y a beaucoup d'autres clients de Let's Encrypt. Comme l'indique l'autre réponse, dns-01 est la plus simple ici, en supposant que vous pouvez automatiser les changements DNS.