sim*_*ley 6 godaddy openssl haproxy
我的一个特定客户端出现问题,该客户端访问了我的 haproxy 负载均衡器。haproxy 日志中的错误消息:]
incoming_ssl/1: SSL handshake failure
有问题的客户端似乎是一些 Apache Java 客户端或 ActiveMq 服务器 - 无论哪种方式,它都是我们对其进行零控制的远程服务器。
使用 ssldump,我看到这些行:
11 5 0.4152 (0.1649) C>S Alert
level fatal
value certificate_unknown
11 0.4152 (0.0000) C>S TCP FIN
使用curl /浏览器一切看起来都很好,我已经做了一些ssl检查,没有报告此类问题。
我已经从我的 haproxy 配置文件中删除了尽可能多的内容来诊断问题。我什至测试过直接访问后端(NodeJS)服务器,效果很好 - 客户端可以连接。这确实是 haproxy,我只是不知道如何修复它。
我的基本 haproxy conf 文件如下所示:
frontend incoming_ssl
bind *:443 ssl crt /etc/haproxy/cert.key ca-file /etc/haproxy/cert.pem ciphers ECDHE-RSA-AES256-SHA:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
acl flume hdr_dom(host) -i dom.ain.com
use_backend flume if flume
backend flume :80
server flume 10.40.14.1:8000 weight 1 maxconn 1000 check inter 2000
也尝试过使用 ssl 后端 - 同样的问题。也尝试过删除密码部分。
我正在使用 godaddy 证书,这对于curl /浏览器来说似乎没问题,但设置起来有点烦人。
我还可以做些什么来使其正常工作吗?我正在运行最新开发的 haproxy 1.5 版本 26,但也尝试了其他最新版本。
该客户端无法识别该证书为有效证书。
Godaddy 中间证书必须包含在“crt”加载的文件中。
检查整个证书链是否正确包含在服务器的证书中:
crt /etc/haproxy/cert.key
来自“crt”关键字的 haproxy 文档:
某些 CA(例如 Godaddy)在获取证书时提供不包括 HAProxy 的服务器类型下拉列表。如果发生这种情况,请务必选择 CA 认为需要中间 CA 的 Web 服务器(对于 Godaddy,选择 Apache Tomcat 将获得正确的捆绑包,但许多其他服务器(例如 nginx)会导致错误的捆绑包,对某些客户端不起作用) 。
| 归档时间: |
|
| 查看次数: |
41041 次 |
| 最近记录: |