একাধিক এসএসএল-শংসাপত্রগুলির জন্য কীভাবে HAProxy কনফিগার করবেন

আমাকে দুটি পৃথক এসএসএল-শংসাপত্র সহ HAProxy কনফিগার করতে হবে

1. www.example.com
2. api.example.com

এখন আমি সার্ভারফল্টের একটি পোস্ট থেকে শিখেছি ( 2 টি শংসাপত্র কীভাবে ব্যবহার করতে হয় তা হ্যাপ্রোক্সিতে একাধিক এসএসএল শংসাপত্রগুলি কনফিগার করে ) তবে সার্ভার উভয় ডোমেনের জন্য উল্লিখিত প্রথম শংসাপত্রটি ব্যবহার করা চালিয়ে যায়।

কনফিগ:

frontend apache-https
    bind 192.168.56.150:443 ssl crt /certs/crt1.pem crt /certs/cert2.pem
    reqadd X-Forwarded-Proto:\ https
    default_backend apache-http

backend apache-http
    redirect scheme https if { hdr(Host) -i www.example.com } !{ ssl_fc }
    redirect scheme https if { hdr(Host) -i api.example.com } !{ ssl_fc }
    ...

ইউআরএলের উপর নির্ভর করে কোন শংসাপত্রটি ব্যবহার করবেন তা HAProxy কে কীভাবে বলা যায়?

সম্পূর্ণ কনফিগারেশন:

global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

    # Default SSL material locations
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

    ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
    ssl-default-bind-options no-sslv3
    tune.ssl.default-dh-param 2048 // better with 2048 but more processor intensive

defaults
        log     global
        mode    http
        option tcplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000

frontend apache-http
        bind 0.0.0.0:80
        mode http
        option http-server-close                # needed for forwardfor
        option forwardfor                       # forward IP Address of client
        reqadd X-Forwarded-Proto:\ http
        default_backend apache-http
        stats enable

frontend apache-https
        bind 0.0.0.0:443 ssl crt cer1.pem cert2.pem
        reqadd X-Forwarded-Proto:\ https
        default_backend apache-http

backend apache-http
        redirect scheme https if { hdr(Host) -i db.example.com } !{ ssl_fc }
        redirect scheme https if { hdr(Host) -i api2.example.com } !{ ssl_fc }
        balance roundrobin
        cookie SERVERID insert indirect nocache
        server www-1 10.0.0.101:80 cookie S1 check
        server www-2 10.0.0.102:80 cookie S2 check
        server www-3 10.0.0.103:80 cookie S3 check

আপনি HAProxy 1.6 বা ততোধিক চলমান আছে তা নিশ্চিত করুন

এই প্রশ্নটি একটু পুরানো, তবে আমি ওপি-র মতো কনফিগারেশন নিয়ে এই একই সমস্যাটি নিয়ে চলেছি ran

HAProxy 1.5 crtএকটি bindবিকল্পে একাধিক সিনট্যাক্স গ্রহণ করে ; তবে সাড়া দেওয়ার সময় এটি কেবল প্রথম শংসাপত্র ব্যবহার করে।

HAProxy 1.6 কলারের অনুরোধের ভিত্তিতে শংসাপত্রের সাথে প্রতিক্রিয়া দেখায়। এটির sniজন্য কনফিগারেশনে কোনও বিশেষ এসিএল লাগবে না ।

এখানে একটি উদাহরণ রয়েছে যা 1.6 এ কাজ করে তবে 1.5-তে cert2.pemঅনুরোধের প্রতিক্রিয়া জানাতে ব্যবহার করতে ব্যর্থ হয় place2.com:

frontend http-in
        bind *:80
        bind *:443 ssl crt cert1.pem crt cert2.pem
        mode http

        acl common_dst hdr(Host) -m str place1.com place2.com

        use_backend be_common if common_dst

backend be_common
        # nothing special here.

কোন শংসাপত্র হ্যাপ্রোক্সি উপস্থাপন করছে তা আপনি কীভাবে পরীক্ষা করছেন? আপনি যদি ব্যবহার করছেন openssl s_clientতবে পরামর্শ দিন যে -servername api.domain.comএসএনআই তথ্য প্রেরণের জন্য একটি অতিরিক্ত প্যারামিটার ( ) দরকার যা কোন শংসাপত্র উপস্থাপন করতে হবে তা হ্যাপ্রোক্সির সিদ্ধান্ত নিতে হবে।