হ্যাপ্রোক্সিতে একাধিক এসএসএল শংসাপত্র কনফিগার করুন


28

আমার হ্যাপ্রোক্সি উদাহরণ 2 টি ডোমেন পরিবেশন করে (বেশিরভাগ মূল সাইটে এক্সএসএস এড়ানোর জন্য)।

নিয়মগুলি দেখতে এই জাতীয় কিছু

bind :443 ssl crt /etc/ssl/haproxy.pem

acl is_static   hdr_end(Host) -i example.com
acl is_api      hdr_end(Host) -i api.example.com
acl is_files    hdr_end(Host) -i example.io

redirect scheme https if !{ ssl_fc } is_static is_api

এখন SSL এর ব্যবহারসমূহ /etc/ssl/haproxy.pemডিফল্ট যা নিশ্চিতভাবে ঘটবে, যার জন্য শংসাপত্র হিসাবে example.comএবং example.io

আমি একাধিক ডোমেন নামের জন্য শংসাপত্রগুলি কীভাবে নির্দিষ্ট করতে পারি?

উত্তর:


60

আপনি ফাইলগুলিতে আপনার সমস্ত শংসাপত্রগুলি একত্রিত করতে পারেন haproxy1.pemএবং haproxy2.pemবা আপনার সমস্ত পিএম ফাইলযুক্ত ডিরেক্টরি নির্দিষ্ট করতে পারেন।

cat cert1.pem key1.pem > haproxy1.pem 
cat cert2.pem key2.pem > haproxy2.pem

অনুযায়ী HAProxy ডক্স

তারপরে কনফিগারেশনে এই জাতীয় কিছু ব্যবহার করুন:

defaults
  log 127.0.0.1 local0
  option tcplog

frontend ft_test
  mode http
  bind 0.0.0.0:443 ssl crt /certs/haproxy1.pem crt /certs/haproxy2.pem 
  use_backend bk_cert1 if { ssl_fc_sni my.example.com } # content switching based on SNI
  use_backend bk_cert2 if { ssl_fc_sni my.example.org } # content switching based on SNI

backend bk_cert1
  mode http
  server srv1 <ip-address2>:80

backend bk_cert2
  mode http
  server srv2 <ip-address3>:80

এসএনআই সম্পর্কে আরও পড়ুন

মনে রাখবেন যে এসএসএল সমর্থন হ্যাপ্রোক্সি জন্য ডেভলপমেন্ট মঞ্চে রয়েছে এবং এটি সম্ভবত যথেষ্ট পারফরম্যান্স হিট করেছে।

এই থ্রেডে অন্যান্য সমাধান সম্পর্কে কথা বলা হয়েছে: https://stackoverflow.com/questions/10684484/haproxy-with-m Multiple- https-sites

আশাকরি এটা সাহায্য করবে.


সম্মিলন করার সময় শংসাপত্র / কী আদেশ গুরুত্বপূর্ণ?
এরিক অাইনার

আমি মনে করি না এটির বিষয়টি বিবেচনা করা উচিত, উদাহরণস্বরূপ আপনি যদি কোনও ডিরেক্টরি নির্দিষ্ট করেন তবে অর্ডারটি স্বেচ্ছাসেবী। আমি নিশ্চিত করব যে আপনি যদি কোনও শংসাপত্র অন্তর্ভুক্ত করেন তবে আপনি ম্যাচিং কীটি অন্তর্ভুক্ত করবেন।
রিকো

আপনার পরামর্শ অনুসারে আমি এটি সেট আপ করেছি, তবে হ্যাপ্রোক্সি প্রতিটি ডোমেনের জন্য প্রথম সার্টিফিকেটটি ব্যবহার করে চলেছে :(
এরিক অাইনার

crt-listএকই ফলাফল দিয়ে চেষ্টাও করেছেন
এরিক অ্যাগনার

1
আআআআঁ হ্যাঁ! সেটাই কৌতুক!
এরিক অ্যাগনার

9

এখন আর শংসাপত্রের তালিকা নির্ধারণ বা নির্দিষ্ট করার দরকার নেই, কেবল একটি ফোল্ডার নির্দিষ্ট করুন:

frontend public
    bind *:443 ssl crt /etc/haproxy/ssl/

দ্রষ্টব্য: নিশ্চিত করুন যে ফোল্ডারটি খালি নেই এবং বৈধ PEM ফাইল উপস্থিত রয়েছে, অন্যথায় HAProxy চলবে না।


3

সম্ভবত আপনি এটি পরীক্ষা করতে পারে:

/etc/ssl/private/crt-list.txt:

/etc/ssl/private/mydomain.pem
/etc/ssl/private/myotherdomain.pem

haproxy.cfg:

frontend https-in:
  bind *:443 ssl crt-list /etc/ssl/private/crt-list.txt

রেফস: https://github.com/msimerson/Mail-Toaster-6/wiki/How-to-for- মাল্টিপল- ডোমেন- এসএসএল- সার্টিফিকেট-with- হাইপ্রক্সি

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.