Primero, configura tu CN para que esté en el FQDN (que es lo que debería ser en primer lugar), por lo que no importa en qué dirección IP esté. En segundo lugar, podría usar certificados internos si lo desea, esa es una opción, sin embargo, esta debe ser extremadamente cerrada y segmentada.
Por lo general, lo que haría por algo así es una de las dos soluciones, dependiendo de lo que estaba a mi disposición:
- Use certificados firmados internamente en el back-end, y en el proxy inverso, use 1 certificado comprado con el número correcto de "unidades" de servidores que está presentando. El bono aquí es que tiene claves separadas, por lo que si una está comprometida, no estará comprometida en todo el proceso. También tiene la posibilidad de escalonar las fechas de vencimiento, por lo que, si uno llega al vencimiento, puede retirarlo del grupo (mantener el tiempo de actividad de la aplicación) mientras actualiza todos los certificados. Asegúrese de que el proxy inverso tenga la última fecha de caducidad.
- Obtenga una CA externa para firmar su certificado y copie el certificado / clave del proxy inverso a los servidores de back-end. Aquí tiene una clave en varios lugares, por lo que si está comprometida, estará comprometida en todo momento. Además, si el certificado caduca, caduca al mismo tiempo en todas partes, pero aún debe actualizarlo en todas partes cuando obtenga un nuevo certificado. Esto no siempre es legítimo, pero a VerSign no le importó. También hay diferentes costos dependiendo del usuario del servidor (Activo / Pasivo, Primario / DR, Activo / Activo, etc.), así que asegúrese de conversar con su CA.