那些遇到过的问题

在 Haproxy 中配置多个 SSL 证书

Eri*_*ner 41 haproxy

我的 haproxy 实例服务于 2 个域(主要是为了避免主站点上的 XSS)。

规则看起来像这样

bind :443 ssl crt /etc/ssl/haproxy.pem

acl is_static   hdr_end(Host) -i example.com
acl is_api      hdr_end(Host) -i api.example.com
acl is_files    hdr_end(Host) -i example.io

redirect scheme https if !{ ssl_fc } is_static is_api
Run Code Online (Sandbox Code Playgroud)

现在 SSL/etc/ssl/haproxy.pem用作默认证书,它是example.com而非的证书example.io

如何为多个域名指定证书?

小智 76

您可以将所有证书连接到文件中haproxy1.pemhaproxy2.pem或者您可以指定一个包含所有 pem 文件的目录。 

cat cert1.pem key1.pem > haproxy1.pem 
cat cert2.pem key2.pem > haproxy2.pem
Run Code Online (Sandbox Code Playgroud)

根据haproxy 文档

然后在配置上使用这样的东西:

defaults
  log 127.0.0.1 local0
  option tcplog

frontend ft_test
  mode http
  bind 0.0.0.0:443 ssl crt /certs/haproxy1.pem crt /certs/haproxy2.pem 
  use_backend bk_cert1 if { ssl_fc_sni my.example.com } # content switching based on SNI
  use_backend bk_cert2 if { ssl_fc_sni my.example.org } # content switching based on SNI

backend bk_cert1
  mode http
  server srv1 <ip-address2>:80

backend bk_cert2
  mode http
  server srv2 <ip-address3>:80
Run Code Online (Sandbox Code Playgroud)

阅读更多关于SNI

请记住,对 haproxy 的 SSL 支持正在开发阶段,而且它显然对性能有相当大的影响。

该线程中还讨论了其他解决方案:https : //stackoverflow.com/questions/10684484/haproxy-with-multiple-https-sites

希望这可以帮助。

小智 16

不再需要连接或指定证书列表,只需指定一个文件夹:

frontend public
    bind *:443 ssl crt /etc/haproxy/ssl/
Run Code Online (Sandbox Code Playgroud)

注意:确保文件夹不为空并且存在有效的 PEM 文件,否则 HAProxy 将不会运行。

  • 还要确保每个域中只有一个证书。您不能将旧证书与更新的证书放在一起,并假设 HAProxy 会选择更新的证书。(我刚刚发现这一点很困难。) (2认同)

zx1*_*986 7

也许你也可以检查一下:

/etc/ssl/private/crt-list.txt:

/etc/ssl/private/mydomain.pem
/etc/ssl/private/myotherdomain.pem
Run Code Online (Sandbox Code Playgroud)

haproxy.cfg:

frontend https-in:
  bind *:443 ssl crt-list /etc/ssl/private/crt-list.txt
Run Code Online (Sandbox Code Playgroud)

参考文献:https : //github.com/msimerson/Mail-Toaster-6/wiki/How-to-for-Multiple-Domain-SSL-Certificates-with-HaProxy

归档时间:

查看次数:

104526 次

最近记录:

6 年,10 月 前
相关归档
如何阅读 haproxy 统计页面 24
如何根据 URL 子字符串发出 haproxy 路由请求? 17
HAProxy 的高 Tq 值 6
在 haproxy 中“平衡源”的其他选项 5
Haproxy 速率限制,conn_rate,conn_cur 5
是否有任何理由*不*在 Docker 容器中运行 HAProxy? 5
HAProxy 错误:某些配置选项需要完全权限,因此无法更改 global.uid 4
Haproxy TLS 配置 4
在 HAProxy 中禁用特定后端的 HTTP 日志记录 3
Apache HTTPD 的remoteip 不工作 3
难疑归档
您使用什么工具来监控您的服务器? 187
“在known_hosts 中添加正确的主机密钥”/每个主机名有多个ssh 主机密钥? 179
在 Windows 中,使用命令行如何检查远程端口是否打开? 120
为从 nginx 提供的静态内容设置过期标头 112
使用 Nginx 提供静态文件时禁用缓存(用于开发) 93
为什么在 shell 脚本上使用 Chef/Puppet? 83
bash 中两个与符号和分号的操作方式有区别吗? 71
如何更正 Postfix 的“中继访问被拒绝”? 63
如何强制 MySQL 通过 TCP 而不是 Unix 套接字连接? 62
如何获取有关 Linux 中 /proc 中显示的打开管道的更多信息? 61