Наш кластер выглядит так: a.proxmox.example, b.proxmox.example, c.proxmox.example. Они находятся за файрволом, поэтому challenge http-01 не работает. На каждом сервере у нас запущен nginx в качестве веб-прокси. Настроена схема round-robin DNS, так что пользователи могут просто заходить на proxmox.example. Цель — получить SAN-ключ для каждого, который разрешается как к фактическому hostname, так и к proxmox.example, без каких-либо предупреждений о самоподписанных сертификатах, межсерверное взаимодействие работает нормально. Я пробовал документацию здесь: https://proxmox.dfw1.sonic.net/pve-docs/chapter-sysadmin.html#sysadmin_certificate_management. Части, связанные с DNS challenge, похоже, не поддерживают SAN-ключи, или, возможно, я что-то не так понял. Кто-нибудь решал эту проблему?