Haproxy ssl 重定向

tag-icon tag-icon ssl redirect haproxy
Haproxy ssl 重定向

我不确定我是否理解 haproxy 的工作原理。我的系统由几台基于 http 通信的服务器组成。我想同时使用 haproxy 作为负载平衡器和类似 https 服务器的东西。它应该按以下方式工作:用户写入地址,然后 haproxy 决定 - 如果是 http,则将其重定向到 https,如果是 https,则通过 http 连接到系统。我的意思是只有使用 haproxy 的客户端才应该有 https 连接,但使用系统的 haproxy 应该有 http。这是具有所述架构的图像:

在此处输入图片描述

我编写了 haproxy 配置文件,但我得到的只是从 http 重定向到 https 并显示第一个站点 - 其余的都死了,因为所有通信看起来都像这样:

客户端 --(https)--> haproxy --(https)-->系统

代替

客户端--(https)-->haproxy--(http)-->系统

可以使用 haproxy 创建它吗?

以下是我的 haproxy 配置文件:

global
    pidfile /var/run/haproxy.pid
    log 127.0.0.1 local2 debug
    maxconn 2048
    tune.ssl.default-dh-param 2048
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

defaults
    mode        http
    option forwardfor
    option http-server-close
    log global
    option      httplog
    option dontlognull
    option forwardfor
    option http-server-close
    option redispatch
    option tcp-smart-accept 
    option tcp-smart-connect
    timeout http-request 10s
    timeout queue 1m
    timeout connect 5s
    timeout client 2m
    timeout server 2m
    timeout http-keep-alive 10s
    timeout check 5s
    retries 3
    compression algo gzip
    compression type text/html text/html;charset=utf-8 text/plain text/css text/javascript application/x-javascript application/javascript application/ecmascript application/rss+xml application/atomsvc+xml application/atom+xml application/atom+xml;type=entry application/atom+xml;type=feed application/cmisquery+xml application/cmisallowableactions+xml application/cmisatom+xml application/cmistree+xml application/cmisacl+xml application/msword application/vnd.ms-excel application/vnd.ms-powerpoint

frontend https-in
    bind *:80
    redirect scheme https if !{ ssl_fc }
    bind *:443 ssl crt /etc/ssl/private/cert.pem
    capture request header X-Forwarded-For len 64
    capture request header User-agent len 256
    capture request header Cookie len 64
    capture request header Accept-Language len 64
    rspadd Strict-Transport-Security:\ max-age=15768000
    option contstats
    default_backend share-https

backend share-https
    option httpchk GET /share
    balance roundrobin
    cookie JSESSIONID prefix
    server main srv1:9080 cookie main check inter 5000 weight 4
    server secondary srv2:9080 cookie secondary check inter 5000 weight 1

答案1

问题在于我描述的系统是 Alfresco - 名为“share”的应用程序具有阻止 https 的 CSRFPolicy。根据此解决方案

  1. 从以下位置复制“CSRFPolicy”默认配置:

TOMCAT_HOME/webapps/share/WEB-INF/classes/alfresco/share-security-config.xml

到:

TOMCAT_HOME/shared/classes/alfresco/web-extension/share-config-custom.xml

  1. 添加属性 replace="true":

<config evaluator="string-compare" condition="CSRFPolicy" replace="true">

  1. 更新属性引荐来源起源使用 Apache VirtualHost 的 FQDN(https)

<referer>https://HAProxyAddress/.*</referer> <origin>https://HAProxyAddress</origin>

就这样。对我来说,它有用。

相关内容