我有一台安装了 HAProxy 的服务器。我试图将我的公共 IP 连接到通过外部端口提供不同服务的多台服务器。
因此端口 80 将指向服务器 1,端口 100 将转发至服务器 2 等等。
到目前为止,这部分工作正常,我无法从 haproxy 服务器获取 SSL 证书,无法通过该证书传递流量。当我尝试在运行 haproxy 的情况下访问主站点以外的站点时,出现以下错误。
NET::ERR_CERT_COMMON_NAME_INVALID
我浏览了相当多的 Stack Exchange、谷歌和论坛。我已经从下面的配置中删除了我的 IP 的前几段。它们位于我服务器上的配置中。我还从下面的配置中删除了密码。
缺什么?
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
maxconn 2048
tune.ssl.default-dh-param 2048
# Default SSL material locations
ca-base /etc/ssl/certs
#ca-base /etc/haproxy/certs/
crt-base /etc/ssl/private
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy
ssl-default-bind-ciphers xxxx
ssl-default-bind-options no-sslv3
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 50000
timeout server 50000
option forwardfor
option http-server-close
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 504 /etc/haproxy/errors/504.http
frontend www-http
#bind x.x.x.250:80
#bind x.x.x.26:2000
bind *:80
reqadd X-Forwarded-Proto:\ http
acl url_red path_beg /red
use_backend red-backend if url_red
default_backend www-backend
#default_backend www-backend
#acl url_prox path_beg /prox
#use_backend prox-beckend if url_prox
frontend www-https
bind x.x.x.250:443 ssl crt /etc/haproxy/certs/roots.systems.pem
#bind x.x.x.26:2000 ssl crt /etc/haproxy/certs/roots.systems.pem
reqadd X-Forwarded-Proto:\ https
acl letsencrypt-acl path_beg /.well-known/acme-challenge/
use_backend letsencrypt-backend if letsencrypt-acl
#default_backend www-backend
acl url_prox path_beg /prox
use_backend prox-backend if url_prox
acl url_red path_beg /red
use_backend red-backend if url_red
default_backend www-backend
backend www-backend
redirect scheme https if !{ ssl_fc }
#server www-1 x.x.x.25:80 check
#server www-2 x.x.x.27:2551 check
server www-3 127.0.0.1:84 check
backend letsencrypt-backend
server letsencrypt 127.0.0.1:54321
backend prox-backend
redirect scheme https if !{ ssl_fc }
server prox01 x.x.x.25:1457 check inter 2000
backend red-backend
redirect scheme https if !{ ssl_fc }
server www-1 x.x.x.26:2000 check
‘
编辑:忘了提及我的域上确实有一个 CNAME 记录,它会将所有子域转发回域的公共 IP。
因此当需要访问服务a时,就转到test.example.com
答案1
知道了。
运行“openssl x509 -in YourCert.pem -text -noout”并与https://www.ssllabs.com/ssltest/
这证实了使用的是旧证书。经过进一步调查,配置文件中的证书调用被覆盖。这解决了证书问题。要使用一个公共 IP 的多个服务,则需要采用这种配置技术:
acl is_site2 hdr(host) -i something.example.com
use_backend site2 if is_site2