Допустим, у нас есть haproxy перед 2 apache:
+----> Apache (10.0.0.2)
Haproxy (10.0.0.1) --|
+----> Apache (10.0.0.3)
Я видел, что Haproxy позволяет нам предоставить каталог со многими сертификатами, но мне не удалось заставить его работать с другим, кроме одного сертификата.
Вот моя (упрощенная) конфигурация:
global
[...]
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# Default ciphers to use on SSL-enabled listening sockets.
ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# For backends connections
ssl-default-server-options no-sslv3
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
frontend https_frontend
bind 10.0.0.1:443 ssl crt /etc/ssl/private/mycerts/mydomain.pem # HERE WE WANT A DIRECTORY INSTEAD OF A FILE
default_backend apache_backend
backend apache_backend
cookie SRVID insert indirect nocache
# Backends
server apache1 10.0.0.2:80 check maxconn 64
server apache2 10.0.0.3:80 check maxconn 64
# Load Balancing - URI Consistent
balance uri
hash-type consistent
# Options
option http-keep-alive
Вы можете использовать crt-list
и укажите на файл, содержащий список сертификатов, чтобы ваш интерфейс читался как
frontend https_frontend
bind 10.0.0.1:443 ssl crt-list /etc/ssl/private/mycerts.txt
default_backend apache_backend
И чтобы сгенерировать список просто с чем-то вроде find /etc/ssl/private/mycerts/ > /etc/ssl/private/mycerts.txt
. См. Дополнительную информацию в https://cbonte.github.io/haproxy-dconv/configuration-1.6.html#5.1-crt-list