Haproxy ssl конфигурация - инсталиране на основен и междинен сертификат

След много гугъл, най-накрая направих своя haproxy ssl да работи. Но сега имам проблем, защото основният и междинният сертификат не са инсталирани, така че моят ssl няма зелена лента.

Моята haproxy конфигурация

global
      maxconn     4096 
      nbproc      1
      #debug
      daemon
      log         127.0.0.1    local0

  defaults
      mode        http
      option      httplog
      log         global
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

  frontend unsecured
      bind 192.168.0.1:80
      timeout     client 86400000
      reqadd X-Forwarded-Proto:\ http
      default_backend      www_backend

  frontend  secured
  mode http
   bind 192.168.0.1:443 ssl crt /etc/haproxy/cert.pem
   reqadd X-Forwarded-Proto:\ https
  default_backend www_backend

  backend www_backend
      mode        http
      balance     roundrobin
      #cookie      SERVERID insert indirect nocache
      #option      forwardfor
      server      server1 192.168.0.2:80  weight 1 maxconn 1024 check
      server      server2 192.168.0.2:80  weight 1 maxconn 1024 check

192.168.0.1 е моят IP адрес за балансиране на натоварването. /etc/haproxy/cert.pem съдържа частен ключ и сертификат за домейн, напр. www.domain.com

Има друг въпрос с конфигурацията на ssl, която включва bundle.crt. Когато се свързах с моята поддръжка за ssl, те ми казаха, че трябва да инсталирам основен и междинен сертификат.

От Документация на Comodo създаването на пакет е просто като сливане на техния crt , който направих.

Но когато се опитам да конфигурирам отново моята haproxy конфигурация като

bind 192.168.0.1:443 ssl crt /etc/haproxy/cert.pem ca-file /path/to/bundle.crt

Получавам грешка, че не мога да използвам този конфигурационен параметър при свързване.

p.s използвам версия 1.5 dev12. С последната версия dev17 имах проблеми дори със стартирането на haproxy както в тази публикация

въведете описание на изображението тук


ssl openssl centos load-balancing haproxy
person Novkovski Stevo Bato    schedule 24.02.2013    source източник
comment
Трябва да деактивирате SSLv3 с bind 192.168.0.1:443 ssl crt /etc/haproxy/cert.pem ca-file /path/to/bundle.crt no-sslv3   -  person Alexander Farber    schedule 15.12.2016

Отговори (2)


arrow_upward
38
arrow_downward

Изглежда, че ще трябва да прекомпилирате така:

make clean
make \
    TARGET="linux26" \
    USE_STATIC_PCRE=1 \
    USE_OPENSSL=1
make install PREFIX="/opt/haproxy"

След това bind трябва да разпознае вашата crt опция. В моя случай използвах:

bind 0.0.0.0:443 ssl crt /envs/production/ssl/haproxy.pem

Свързах всички ssl файлове в 1 голям файл във веригата на сертификата за поръчка, частен ключ. напр.:

-----BEGIN MY CERTIFICATE-----
-----END MY CERTIFICATE-----
-----BEGIN INTERMEDIATE CERTIFICATE-----
-----END INTERMEDIATE CERTIFICATE-----
-----BEGIN INTERMEDIATE CERTIFICATE-----
-----END INTERMEDIATE CERTIFICATE-----
-----BEGIN ROOT CERTIFICATE-----
-----END ROOT CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

Рестартирайте и тествайте с openssl s_client -connect 127.0.0.1:443 -servername www.transloadit.com |head.

Трябва да върне правилната информация за сертификата.

Редактиране: Току-що намерих този урок чрез HackerNews: https://serversforhackers.com/c/using-ssl-certificates-with-haproxy. Мислех, че би било полезно да се добави, тъй като навлиза в повече подробности.

person kvz    schedule 06.03.2013
comment
няма да опитам, но можете ли да ми кажете моята поръчка на сертификати, support.comodo. com/ - person Novkovski Stevo Bato; 06.03.2013
comment
Не е необходимо да изпращате основния сертификат, тъй като или клиентът го има в своето надеждно хранилище, или няма да му се довери. - person Jason Martin; 27.07.2016
comment
@kvz връзката вече не е достъпна - person carla; 04.09.2017
comment
@carla благодаря, актуализиран serversforhackers.com/c/using-ssl-certificates-with -хапрокси - person kvz; 04.09.2017

arrow_upward
0
arrow_downward

За съжаление не съм сигурен коя версия на haproxy е наличната опция USE_OPENSSL ... Не мога да намеря тази опция в моята кодова база е V 1.4.24

Valid USE_* options are the following. Most of them are automatically set by
# the TARGET, others have to be explictly specified :
#   USE_CTTPROXY         : enable CTTPROXY on Linux (needs kernel patch).
#   USE_DLMALLOC         : enable use of dlmalloc (see DLMALLOC_SRC) patch).
#   USE_EPOLL            : enable epoll() on Linux 2.6. Automatic. patch).
#   USE_GETSOCKNAME      : enable getsockname() on Linux 2.2. Automatic. patch).
#   USE_KQUEUE           : enable kqueue() on BSD. Automatic. patch).
#   USE_MY_EPOLL         : redefine epoll_* syscalls. Automatic. patch).
#   USE_NETFILTER        : enable netfilter on Linux. Automatic.patch).
#   USE_PCRE             : enable use of libpcre for regex. Recommended.patch).
#   USE_POLL             : enable poll(). Automatic.patch).
#   USE_REGPARM          : enable regparm optimization. Recommended on x86.patch).
#   USE_SEPOLL           : enable speculative epoll(). Automatic.patch).
#   USE_STATIC_PCRE      : enable static libpcre. Recommended.patch).
#   USE_TPROXY           : enable transparent proxy. Automatic. patch).
#   USE_LINUX_TPROXY     : enable full transparent proxy. Automatic. patch).
#   USE_LINUX_SPLICE     : enable kernel 2.6 splicing. Automatic. patch).
#   USE_LIBCRYPT         : enable crypted passwords using -lcrypt patch).
#   USE_CRYPT_H          : set it if your system requires including crypt.h
person vivekv    schedule 27.10.2013
comment
опитайте версия 1.5+, а не 1.4+. Въпреки това 1.5 все още е версия за разработчици, но работи добре за мен в производството - person Novkovski Stevo Bato; 27.10.2013
comment
От 19 юни 2014 г. е пусната стабилна версия на HAProxy 1.5 - person kvz; 15.07.2014