Como configurar o HAProxy para vários certificados SSL

Navegue suas respostas
7

Eu preciso configurar o HAProxy com dois Certificados SSL diferentes

  1. www.example.com
  2. api.example.com

Agora aprendi de uma postagem no serverfault ( Configurar vários certificados SSL no Haproxy ) como usar 2 certificados, no entanto, o servidor continua a usar o primeiro certificado mencionado para ambos os domínios.

Configuração: 

frontend apache-https
    bind 192.168.56.150:443 ssl crt /certs/crt1.pem crt /certs/cert2.pem
    reqadd X-Forwarded-Proto:\ https
    default_backend apache-http

backend apache-http
    redirect scheme https if { hdr(Host) -i www.example.com } !{ ssl_fc }
    redirect scheme https if { hdr(Host) -i api.example.com } !{ ssl_fc }
    ...

Como informar ao HAProxy qual certificado usar, dependendo da URL?

Configuração completa: 

global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

    # Default SSL material locations
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

    ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
    ssl-default-bind-options no-sslv3
    tune.ssl.default-dh-param 2048 // better with 2048 but more processor intensive

defaults
        log     global
        mode    http
        option tcplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000

frontend apache-http
        bind 0.0.0.0:80
        mode http
        option http-server-close                # needed for forwardfor
        option forwardfor                       # forward IP Address of client
        reqadd X-Forwarded-Proto:\ http
        default_backend apache-http
        stats enable

frontend apache-https
        bind 0.0.0.0:443 ssl crt cer1.pem cert2.pem
        reqadd X-Forwarded-Proto:\ https
        default_backend apache-http

backend apache-http
        redirect scheme https if { hdr(Host) -i db.example.com } !{ ssl_fc }
        redirect scheme https if { hdr(Host) -i api2.example.com } !{ ssl_fc }
        balance roundrobin
        cookie SERVERID insert indirect nocache
        server www-1 10.0.0.101:80 cookie S1 check
        server www-2 10.0.0.102:80 cookie S2 check
        server www-3 10.0.0.103:80 cookie S3 check
    
por merlin 11.09.2015 / 08:16

2 respostas

8

Verifique se você está executando o HAProxy 1.6 ou superior

Esta questão é um pouco antiga, mas encontrei exatamente o mesmo problema com configurações semelhantes ao OP.

O HAProxy 1.5 aceita a sintaxe múltipla crt em uma opção bind ; no entanto, ele usa apenas o primeiro certificado ao responder.

O HAProxy 1.6 parece responder com o certificado com base na solicitação do chamador. Isso não parece exigir nenhuma ACLs sni especiais na configuração.

Veja um exemplo que funciona no 1.6, mas não consegue usar cert2.pem ao responder a solicitações de place2.com em 1.5: 

frontend http-in
        bind *:80
        bind *:443 ssl crt cert1.pem crt cert2.pem
        mode http

        acl common_dst hdr(Host) -m str place1.com place2.com

        use_backend be_common if common_dst

backend be_common
        # nothing special here.
    
por 17.02.2016 / 04:47
2

Como você está testando qual certificado o haproxy está apresentando? Se você estiver usando openssl s_client , esteja ciente de que é necessário um parâmetro adicional ( -servername api.domain.com ) para enviar as informações do SNI que o haproxy precisa para decidir qual certificado apresentar.

    
por 11.09.2015 / 08:31

Tags

uso de espaço bruto do CEPH É válido ter vários endereços IP resolvendo o retorno (PTR) para um nome que não corresponda a um dos registros A relevantes?