在 Haproxy 中配置多个 SSL 证书

Question 1

您可以将所有证书连接到文件中haproxy1.pem，或者haproxy2.pem可以指定包含所有 pem 文件的目录。

cat cert1.pem key1.pem > haproxy1.pem 
cat cert2.pem key2.pem > haproxy2.pem

根据haproxy 文档

然后在配置中使用类似这样的内容：

defaults
  log 127.0.0.1 local0
  option tcplog

frontend ft_test
  mode http
  bind 0.0.0.0:443 ssl crt /certs/haproxy1.pem crt /certs/haproxy2.pem 
  use_backend bk_cert1 if { ssl_fc_sni my.example.com } # content switching based on SNI
  use_backend bk_cert2 if { ssl_fc_sni my.example.org } # content switching based on SNI

backend bk_cert1
  mode http
  server srv1 <ip-address2>:80

backend bk_cert2
  mode http
  server srv2 <ip-address3>:80

阅读更多内容信噪比

请记住，SSL 支持正处于 haproxy 的开发阶段，而且显然会对性能造成相当大的影响。

此主题中还讨论了其他解决方案：https://stackoverflow.com/questions/10684484/haproxy-with-multiple-https-sites

希望这可以帮助。

Answer

您可以将所有证书连接到文件中haproxy1.pem，或者haproxy2.pem可以指定包含所有 pem 文件的目录。

cat cert1.pem key1.pem > haproxy1.pem 
cat cert2.pem key2.pem > haproxy2.pem

根据haproxy 文档

然后在配置中使用类似这样的内容：

defaults
  log 127.0.0.1 local0
  option tcplog

frontend ft_test
  mode http
  bind 0.0.0.0:443 ssl crt /certs/haproxy1.pem crt /certs/haproxy2.pem 
  use_backend bk_cert1 if { ssl_fc_sni my.example.com } # content switching based on SNI
  use_backend bk_cert2 if { ssl_fc_sni my.example.org } # content switching based on SNI

backend bk_cert1
  mode http
  server srv1 <ip-address2>:80

backend bk_cert2
  mode http
  server srv2 <ip-address3>:80

阅读更多内容信噪比

请记住，SSL 支持正处于 haproxy 的开发阶段，而且显然会对性能造成相当大的影响。

此主题中还讨论了其他解决方案：https://stackoverflow.com/questions/10684484/haproxy-with-multiple-https-sites

希望这可以帮助。

Question 2

不再需要连接或指定证书列表，只需指定一个文件夹：

frontend public
    bind *:443 ssl crt /etc/haproxy/ssl/

注意：确保文件夹不为空并且存在有效的 PEM 文件，否则 HAProxy 将无法运行。

Answer

不再需要连接或指定证书列表，只需指定一个文件夹：

frontend public
    bind *:443 ssl crt /etc/haproxy/ssl/

注意：确保文件夹不为空并且存在有效的 PEM 文件，否则 HAProxy 将无法运行。

Question 3

也许你也可以检查一下：

/etc/ssl/private/crt-list.txt：

/etc/ssl/private/mydomain.pem
/etc/ssl/private/myotherdomain.pem

haproxy.cfg：

frontend https-in:
  bind *:443 ssl crt-list /etc/ssl/private/crt-list.txt

參考文獻：https://github.com/msimerson/Mail-Toaster-6/wiki/How-to-for-Multiple-Domain-SSL-Certificates-with-HaProxy

Answer

也许你也可以检查一下：

/etc/ssl/private/crt-list.txt：

/etc/ssl/private/mydomain.pem
/etc/ssl/private/myotherdomain.pem

haproxy.cfg：

frontend https-in:
  bind *:443 ssl crt-list /etc/ssl/private/crt-list.txt

參考文獻：https://github.com/msimerson/Mail-Toaster-6/wiki/How-to-for-Multiple-Domain-SSL-Certificates-with-HaProxy

在 Haproxy 中配置多个 SSL 证书

答案1

答案2

答案3

相关内容