Hola a todos,

Estoy planificando hacer una cambio grande en unos servidores y me gustaria escuchar sus comentarios, les explico mi situacion. Tengo varios servidores web internos que tienen que ser accedidos desde internet. Al principio se utilizaba DNAT y diferentes puertos para dar acceso a los servidores. Por ejemplo el puerto 80 hace DNAT al 192.168.0.20:80; el puerto 81 hace DNAT al 192.168.0.21:80 y asi. Se busco una solucion mas elegante y que permita escalar facilmente y se decidio aplicar un proxy reverso y de paso implementar un balanceo de carga a traves de apache + mod_proxy_balancer.

Actualmente para algunos puertos se sigue haciendo DNAT, en otros por cada virtual host configurado en el apache hay un proxy reverso. Al final, todo se implementara con proxies reversos, osea nuestro querido apache web server sera el 10 del equipo ;)

Este proxy no es el unico ya que tambien nos ayuda otro servidor que sale por la ip publica de otro proveedor, para que en un caso de caida de un proveedor las paginas aun puedan seguir siendo accedidas. Esto quiere decir que el registro DNS www.midominio.com tiene asociadas 2 ips publicas.


====>|reverse proxy|
| IP ISP 1 |=====>| |
|backends balanceados|
|reverse proxy|=====>| |
====>| IP ISP 2 |

Ahora se quiere comprar certificados SSL para ese dominio (en realidad seria 1 certificado por cada virtual host a la final un certificado por cada backend), lo que no se, y quisiera por favor me ayuden con esa duda justamente, es que si hay que comprar 2 certificados por cada dominio, ya que esta asociado a 2 ips distintas o es suficiente con un certificado y copiar el archivo en ambos reverse proxies. Y que opinan sobre tener un solo reverse proxy con 2 ips publicas configuradas, tambien seria buena idea?

Muchas gracias por llegar hasta aqui :) el post ha sido un poquito largo. Espero sus comentarios.

Saludos,