Recentemente, acertei esse problema na versão 1.5.6 onde recebi a mensagem de erro
verify is enabled by default but no CA file specified. If you're running on a LAN where you're certain to trust the server's certificate, please set an explicit 'verify none' statement on the 'server' line, or use 'ssl-server-verify none' in the global section to disable server-side verifications by default.
Isso estava relacionado a não especificar um ca-file , que você não pode especificar no nível do servidor padrão (de acordo com os documentos). Da mesma forma, eu não queria pensar na interrupção do serviço se o ponto de extremidade do backend tivesse seu certificado reemitido por outra CA.
Eu resolvi apontando para o arquivo de certificados de CA combinados que seus pacotes de distribuição linux e mantêm ordenadamente para você. No debian, esse arquivo é /etc/ssl/cert/ca-certificates.crt
, provavelmente é o mesmo para você.
global
ca-base /etc/ssl/cert # debian
frontend f1
use_backend b1
backend b1
server s1 something.com:443 ssl verify required ca-file ca-certificates.crt