Назад | Перейти на главную страницу

Разгрузка SSL для нескольких доменов (несколько сертификатов) на Haproxy

Допустим, у нас есть haproxy перед 2 apache:

                     +----> Apache (10.0.0.2)
Haproxy (10.0.0.1) --|
                     +----> Apache (10.0.0.3)

Я видел, что Haproxy позволяет нам предоставить каталог со многими сертификатами, но мне не удалось заставить его работать с другим, кроме одного сертификата.

Вот моя (упрощенная) конфигурация:

global
        [...]
        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # Default ciphers to use on SSL-enabled listening sockets.
        ssl-default-bind-options no-sslv3
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

        # For backends connections
        ssl-default-server-options no-sslv3
        ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

frontend https_frontend
        bind 10.0.0.1:443 ssl crt /etc/ssl/private/mycerts/mydomain.pem # HERE WE WANT A DIRECTORY INSTEAD OF A FILE
        default_backend apache_backend

backend apache_backend
        cookie SRVID insert indirect nocache

        # Backends
        server apache1 10.0.0.2:80 check maxconn 64
        server apache2 10.0.0.3:80 check maxconn 64

        # Load Balancing - URI Consistent
        balance uri
        hash-type consistent

        # Options
        option http-keep-alive

Вы можете использовать crt-list и укажите на файл, содержащий список сертификатов, чтобы ваш интерфейс читался как

frontend https_frontend
    bind 10.0.0.1:443 ssl crt-list /etc/ssl/private/mycerts.txt
    default_backend apache_backend

И чтобы сгенерировать список просто с чем-то вроде find /etc/ssl/private/mycerts/ > /etc/ssl/private/mycerts.txt. См. Дополнительную информацию в https://cbonte.github.io/haproxy-dconv/configuration-1.6.html#5.1-crt-list