我如何才能像在浏览器中一样验证 Haproxy 后端 HTTPS 服务器?

tag-icon tag-icon reverse-proxy haproxy
我如何才能像在浏览器中一样验证 Haproxy 后端 HTTPS 服务器?

Haproxy 的文档说安全套接字核实服务器选项启用通过一个验证后端服务器的证书ca 文件但是我尝试使用 Firefox 导出后端服务器的 CA 文件,然后使用导出的 CA 文件来验证后端服务器,然后我收到提示503 Service Unavailable
为什么CA文件和SSL验证不起作用?

请注意,最简单的 TCP 模式反向代理在这种情况下没有帮助,因为我不想发送 SNI 信息。

答案1

为什么CA文件和SSL验证不起作用?
原因是您将 CA 文件导出为X.509 Certificate (PEM),这不是正确的 CA 文件。
您必须使用ca 文件服务器选项,并添加正确的 CA 文件。
使用浏览器(Firefox)导出网站证书另存为X.509 Certificate with chain(PEM)以获取正确的 CA 文件。
例如server wikipedia-server 208.80.153.224 ssl verify required ca-file /path/to/*wikipediaorg.crt

相关内容