更改证书可能有两个主要原因。1. 普通轮换,例如由于过期。在这种情况下,我希望获得 100% 的高可用性。现有会话将使用旧密钥,新会话将使用新加密密钥。2. 我的私钥被盗了,我想断开所有现有连接并使用新密钥重新建立连接。
haproxy 的行为如何?
答案1
反向代理接受来自客户端的请求,并将其转发到相关的前端服务器并返回响应。
一旦代理重新启动,并且如果绑定到 .cfg 中的正确证书指纹,它应该与新的 pub/priv 密钥对一起使用。
传递的陈旧页面将保持原样,直到重新加载为止。
当证书更改并且重新加载 haproxy 时,现有的 tcp 会话会发生什么?