Use o certificado SSL EV em HAProxy para o domínio raiz

Navegue suas respostas
1

Eu tenho um aplicativo da web que oferece um subdomínio para cada cliente. Atualmente, todos os subdomínios do cliente (por exemplo, user1.example.com, user2.example.com) e o domínio raiz (por exemplo, www.example.com, example.com) são protegidos por um único certificado curinga.

Agora, gostaria de usar um certificado Extended Validation para o domínio raiz e continuar usando o certificado curinga para os subdomínios.

É possível configurar o HAProxy para servir um certificado diferente com base nessa condição? É possível ter apenas um back-end e usar apenas um certificado diferente?

Esta questão é diferente de este porque no meu caso ambos os certificados seria válido para o domínio raiz, portanto, o HAProxy não consegue descobrir automaticamente qual certificado deve usar. Eu preciso de uma maneira de definir explicitamente qual certificado deve ser usado com base no domínio solicitado (SNI). De fato, para o domínio raiz, quero usar o certificado EV (em vez do curinga).

    
por collimarco 26.09.2017 / 17:05

1 resposta

3

Bem, na verdade você está com sorte. Se você configurar o haproxy para usar os dois certificados, colocando-os no mesmo diretório e listando isso, ou listando ambos os certificados explicitamente, o HAProxy fará a coisa certa para você. Eu tenho postado sobre isso na lista de discussão de haproxy. O bit relevante sobre a diretiva crt é:

This directive may be specified multiple times in order to load certificates from multiple files or directories. When specified multiple times, the certificates will be looked up in the order they are specified in the configuration, with the exception of wildcard certificates, they will always be looked up last.

Como alternativa, você pode dar uma olhada em crt-list .

    
por 29.09.2017 / 12:08

Tags

Como você registra proxy_pass no log de acesso do nginx? O GPO não é efetivado quando aplicado a um grupo de segurança