У меня есть веб-приложение, которое предлагает каждому клиенту поддомен. В настоящее время все поддомены клиентов (например, user1.example.com, user2.example.com) и корневой домен (например, www.example.com, example.com) защищены одним подстановочным сертификатом.
Теперь я хотел бы использовать сертификат расширенной проверки для корневого домена и продолжать использовать групповой сертификат для поддоменов.
Можно ли настроить HAProxy для обслуживания другого сертификата в зависимости от этого условия? Возможно ли иметь только один бэкэнд и использовать только другой сертификат?
Этот вопрос отличается от вот этот потому что в моем случае оба сертификата будут действительны для корневого домена, поэтому HAProxy не может автоматически определить, какой сертификат следует использовать. Мне нужен способ явно указать, какой сертификат следует использовать на основе запрошенного домена (SNI). Действительно, для корневого домена я хочу использовать сертификат EV (вместо подстановочного знака).
Что ж, вам повезло. Если вы сконфигурируете haproxy для использования обоих сертификатов, поместив их в один и тот же каталог и перечислив его, или явно перечислив оба сертификата, HAProxy сделает для вас правильные вещи. у меня есть опубликовал об этом в списке рассылки haproxy. Соответствующий бит о директиве crt:
Эта директива может быть указана несколько раз, чтобы загружать сертификаты из нескольких файлов или каталогов. При указании нескольких раз сертификаты будут просматриваться в том порядке, в котором они указаны в конфигурации, за исключением подстановочных сертификатов, они всегда будут просматриваться последними.
В качестве альтернативы вы можете посмотреть crt-list.