Единый SSL, или Автоматизация Let's Encrypt на HAProxy

Привет, Хабр! На связи Алексей Холодаев из Cloud4Y. Наверняка вам знакома типичная архитектура — несколько бэкенд-серверов, один HAProxy на входе и куча поддоменов — app.example.com, api.example.com, admin.example.com. Классический подход к SSL заставляет вас либо покупать дорогой Wildcard-сертификат, либо мучительно поддерживать отдельные сертификаты для каждого поддомена на каждом бэкенде…
А что, если я покажу вам способ получше?
Давайте настроим получение и, что критично, полностью автоматическое продление одного SSL-сертификата от Let's Encrypt прямо на HAProxy. Этот единственный сертификат будет защищать все ваши поддомены сразу. Больше не нужно возиться с SSL на каждом бэкенде — весь трафик шифруется и расшифровывается на балансировщике, а до бэкендов идёт уже по защищённому внутреннему каналу.