首先，将您的 CN 设置在 FQDN 上（这应该是它首先应该是的），所以它在哪个 IP 地址上并不重要。其次，如果您愿意，您可以使用内部证书，这是一种选择，但是这需要非常锁定和分段。

通常我会为类似的事情做的是两种解决方案之一，具体取决于我可以使用的内容：
- 在后端使用内部签名的证书，在反向代理上，使用以正确数量购买的 1 个证书它是前端的服务器的“单元”。这里的好处是你有单独的密钥，所以如果一个被泄露，你不会在整个过程中被泄露。您还可以错开到期日期，因此，如果一个到期日期，您可以在更新所有证书时将其从组中取出（保持应用程序的正常运行时间）。确保反向代理具有最新的到期日期。
- 获取外部 CA 来签署您的证书并将证书/密钥从反向代理复制到后端服务器。在这里，您在多个地方都有一个密钥，因此如果它被泄露，您将在整个过程中被泄露。此外，如果证书过期，它会在所有地方同时过期，但是当你获得新证书时，你仍然需要在所有地方更新它。这并不总是合法的，但 VerSign 并不介意。根据服务器的用户（主动/被动、主要/DR、主动/主动等），成本也会有所不同，因此请务必与您的 CA 讨论。