Назад | Перейти на главную страницу

SharePoint - обратный прокси HAProxy (проблема с SSL)

ОБНОВЛЕНИЕ НИЖЕ

________________

Я решил использовать HAProxy в качестве обратного прокси для сайтов SharePoint, и без SSL все работает нормально, но с SSL я не могу запустить haproxy.service. Я пробовал со многими конфигурациями, но не могу понять ...

Пытаюсь запустить службу:

$ sudo systemctl start haproxy.service
Job for haproxy.service failed because the control process exited with error code.
See "systemctl status haproxy.service" and "journalctl -xe" for details.

Статус сервиса haproxy.service:

$ sudo systemctl status haproxy.service
     haproxy.service - HAProxy Load Balancer
       Loaded: loaded (/lib/systemd/system/haproxy.service; enabled; vendor preset: enabled)
       Active: failed (Result: exit-code) since date CEST;
         Docs: man:haproxy(1)
               file:/usr/share/doc/haproxy/configuration.txt.gz
      Process: ExecStart=/usr/sbin/haproxy-systemd-wrapper -f $CONFIG -p $PIDFILE $EXTRAOPTS (code=exited, status=0/SUCCESS)
      Process: ExecStartPre=/usr/sbin/haproxy -f $CONFIG -c -q $EXTRAOPTS (code=exited, status=1/FAILURE)
     Main PID: (code=exited, status=0/SUCCESS)
 systemd[1]: haproxy.service: Failed with result 'exit-code'.
 systemd[1]: haproxy.service: Service hold-off time over, scheduling restart.
 systemd[1]: Stopped HAProxy Load Balancer.
 systemd[1]: haproxy.service: Start request repeated too quickly.
 systemd[1]: Failed to start HAProxy Load Balancer.
 systemd[1]: haproxy.service: Unit entered failed state.
 systemd[1]: haproxy.service: Failed with result 'exit-code'.
 systemd[1]: haproxy.service: Start request repeated too quickly.
 systemd[1]: Failed to start HAProxy Load Balancer.
 systemd[1]: haproxy.service: Failed with result 'exit-code'.

Проверка проблем с файлом конфигурации:

$ sudo haproxy -c -f haproxy.cfg
    Enter PEM pass phrase:
    [ALERT]: parsing [haproxy.cfg:31] : 'bind *:443' : unable to load SSL private key from PEM file './cert.pem'.
    [ALERT]: Error(s) found in configuration file : haproxy.cfg
    [ALERT]: Proxy 'http_id': no SSL certificate specified for bind '*:443' at [haproxy.cfg:31] (use 'crt').    
    [ALERT]: Fatal errors found in configuration.

HAProxy -vv:

$ sudo haproxy -vv
HA-Proxy version 1.7.5-2

Encrypted password support via crypt(3): yes
Built with zlib version : 1.2.8
Running on zlib version : 1.2.8
Compression algorithms supported : identity("identity"), deflate("deflate"), raw-deflate("deflate"), gzip("gzip")
Built with OpenSSL version : OpenSSL 1.1.0e
Running on OpenSSL version : OpenSSL 1.1.0f
OpenSSL library supports TLS extensions : yes
OpenSSL library supports SNI : yes
OpenSSL library supports prefer-server-ciphers : yes
Built with PCRE version : 8.39
Running on PCRE version : 8.39
PCRE library supports JIT : no (USE_PCRE_JIT not set)
Built with Lua version : Lua 5.3.3
Built with transparent proxy support using: IP_TRANSPARENT IPV6_TRANSPARENT IP_FREEBIND
Built with network namespace support

Available polling systems :
      epoll : pref=300,  test result OK
       poll : pref=200,  test result OK
     select : pref=150,  test result OK
Total: 3 (3 usable), will use epoll.

Available filters :
        [COMP] compression
        [TRACE] trace
        [SPOE] spoe

Журналы:

 haproxy: [ALERT]: parsing [/etc/haproxy/haproxy.cfg:31] : 'bind *:443' : unable to load SSL certificate file './cert.pem' file does not exist.
 haproxy: [ALERT]: Error(s) found in configuration file : /etc/haproxy/.cfg
 haproxy: [ALERT]: Proxy 'http_id': no SSL certificate specified for bind '*:443' at [/etc/haproxy/haproxy.cfg:31] (use 'crt').
 haproxy: [ALERT]: Fatal errors found in configuration.

Я использую тот же сертификат (но разделенный: сертификат, ключ, цепочка) для nginx на другом сервере, и он работает. Я создал его для HAProxy с cat cert.crt priv.key certchain.crt > cert.pem command и я пробовали в разных порядках, но ошибка та же. Также с командой haproxy -c -f haproxy.cfg сервер спрашивает о парольной фразе, поэтому я думаю, что с сертификатом все в порядке (возможно, я ошибаюсь) и что-то не так с файлом конфигурации. Спасибо за ваше время и помощь.

Мой haproxy.cfg:

    global    
        tune.ssl.default-dh-param 2048
        maxconn 4096
        user haproxy
        group haproxy
        daemon
        #ssl-server-verify none
    
    defaults
        mode http
        option forwardfor
        log 127.0.0.1 local0 notice
        maxconn 2000
        option httplog
        option dontlognull
        timeout connect 5000
        timeout client 50000
        timeout server 50000
            
    backend sharepoint
        mode http
        #balance roundrobin
        option redispatch
        cookie SERVERID insert nocache
        server spsrv xxx.xxx.xxx.xxx:80
            
    frontend http_id
        #bind *:80
        bind *:443 ssl crt ./cert.pem
        mode http
        reqadd X-Forwarded-Proto:\ https
        acl hosts_sharepoint hdr_end(host) -i intranet.sharepoint.com:443
        use_backend sharepoint if hosts_sharepoint
        default_backend sharepoint

ПЕРВОЕ ОБНОВЛЕНИЕ

Я пробовал использовать сквозную передачу, и теперь SharePoint запрашивает учетные данные (после отключения роли IIS) на порту 80, а затем SharePoint перенаправляет на https с ошибкой «504 Gateway Time-out». Это мой текущий файл haproxy.cfg:

global
    maxconn 4096
    user haproxy
    group haproxy
    daemon
defaults
    mode tcp
    log 127.0.0.1 local0 notice
    maxconn 2000
    option tcplog
    option dontlognull
    timeout connect 20s
    timeout client 10m
    timeout server 10m
frontend httpid
    mode tcp
    bind *:443
    acl hosts_sharepoint hdr_end(host) -i intranet.sharepoint.com
    use_backend sharepoint if hosts_sharepoint
    default_backend sharepoint
backend sharepoint
    mode tcp
    balance roundrobin
    option redispatch
    cookie SERVERID insert indirect nocache
    server st1 xxx.xxx.xxx.xxx:443
    option ssl-hello-chk

Также команда: $ curl xxx.xxx.xxx.xxx:**80** --header 'Host: sharepoint.intranet.com' -vv возвращает 401, значит соединение работает, но команда с портом 443 $ url xxx.xxx.xxx.xxx:**443** --header 'Host: sharepoint.intranet.com' -vv возвращается curl: (56) Recv failure: Connection reset by peer. Правильный ли мой файл конфигурации? А может мне нужно настроить IIS?

ВТОРОЕ ОБНОВЛЕНИЕ

После перезапуска сервера SharePoint эта конфигурация работает с пройти через:

global
    maxconn 4096
    user haproxy
    group haproxy
    daemon
defaults
    mode tcp
    log 127.0.0.1 local0 notice
    maxconn 2000
    option tcplog
    option dontlognull
    timeout connect 20s
    timeout client 10m
    timeout server 10m
frontend httpid
    mode tcp
    bind *:443
    acl hosts_sharepoint hdr_end(host) -i intranet.sharepoint.com
    use_backend sharepoint if hosts_sharepoint
    default_backend sharepoint
backend sharepoint
    mode tcp
    balance roundrobin
    option redispatch
    cookie SERVERID insert indirect nocache
    server st1 xxx.xxx.xxx.xxx:443
    option ssl-hello-chk

Вам следует избегать использования относительных путей в файлах конфигурации, например ./cert.pem. Пожалуйста, измените абсолютный путь, например /etc/ssl/cert.pem (приспособиться к текущему пути).

Также проверьте cert.pem сам файл. Он должен содержать только печатный текст (не двоичный) с как минимум двумя -----BEGIN CERTIFICATE-----, -----END CERTIFICATE----- блоки (ваш сертификат и ЦС из цепочки) и -----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY----- блок (или может быть -----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY-----).

Если бы внутри cert.pem файл, следует преобразовать исходные файлы (cert.crt, priv.key) в формат PEM и воссоздать cert.pem файл снова. Правильный порядок конкатенации: окончательный сертификат, ключ, непосредственный издатель, следующий эмитент и т. Д. Вы можете не указывать корневой ЦС, поскольку считается хорошей практикой не включать его (реальной необходимости нет, обменивается меньше байтов).

Вы можете преобразовать двоичный формат (он же DER) в текстовый формат (он же PEM), используя openssl:

Для сертификатов (input.crt будет файл DER и output.crt будет новый файл в формате PEM):

openssl x509 -inform DER -in input.crt -out output.crt

Для ключа (я предполагаю, что это ключ RSA, который является наиболее обычным) ПРИМЕЧАНИЕ: он запросит (новый) пароль для output.key, см. мои комментарии по этому поводу позже.

openssl rsa -inform DER -in input.key -out output.key

ПРИМЕЧАНИЕ. Большинство серверов предполагают, что ключ не зашифрован (то есть следующая строка -----BEGIN PRIVATE KEY----- содержит ENCRYPTED). Если это было так, и ваш сервер все равно не запускается, попробуйте преобразовать ключ в незашифрованный формат (ПРИМЕЧАНИЕ: в этой команде я предполагаю, что inputcipher.key файл уже в формате PEM):

openssl rsa -in inputcipher.key -nodes -out outputclear.key

Что касается прохода с 504 ошибка, в более поздней конфигурации вы указываете на server st1 xxx.xxx.xxx.xxx:443 тогда как в конфигурации перехвата вы указывали на server spsrv xxx.xxx.xxx.xxx:80. Пожалуйста, еще раз проверьте, слушает ли ваш бэкэнд порт 80 или порт 443, но кажется, что сервер не слушает порт 443.

Может быть, это будет кому-то полезно. В моем случае я настроил два сетевых адаптера в Linux - локальную сеть и общедоступную сеть. В Windows у меня есть только локальная сеть - Windows подключается к Linux в локальной сети, а затем через HAProxy я могу открыть сайт SharePoint из Интернета.

Это правильная конфигурация, и в моем случае она работает (для SSL я использовал сквозное перенаправление - перенаправление, а сертификат находится в Windows IIS):

global
    maxconn 4096
    user haproxy
    group haproxy
    daemon
defaults
    mode tcp
    log 127.0.0.1 local0 notice
    maxconn 2000
    option tcplog
    option dontlognull
    timeout connect 20s
    timeout client 10m
    timeout server 10m
frontend httpid
    mode tcp
    bind *:443
    acl hosts_sharepoint hdr_end(host) -i intranet.sharepoint.com
    use_backend sharepoint if hosts_sharepoint
    default_backend sharepoint
backend sharepoint
    mode tcp
    balance roundrobin
    option redispatch
    server st1 xxx.xxx.xxx.xxx:443 #local address of the Windows server
    option ssl-hello-chk