我目前正在尝试为 Web 服务器集群设置 HA-Proxy,以便为公司的不同域提供服务。到目前为止,一切运行正常,但当我开始通过 ha-proxy 解决 SSL 终止时,我遇到了特定问题。我找不到任何阻止域通过 SSL 提供服务的选项。
我的计划是在发送 SSL 握手之前,定义一组允许获得 SSL 终止的域,而未列出的其他域应被删除。
尤其是人们可以使用 dns 记录的 ip 地址或代理本身的 ip 地址并尝试通过 https 访问它,而 ha-proxy 只需发送证书。
当然,当 http 引擎加载并且我检测到主机中的域不是允许的域时,我可以发送一个空响应,但这似乎不是最佳解决方案。
是否有一条我遗漏的规则,通过该规则我可以在通过 ssl-termination 提供 ssl 之前获取 dns/domain,这样不允许的域名就会被拒绝,甚至看不到 ssl 证书?
据我所知,使用 http-hostname 的选项根本不起作用,因为 ssl-termination 是在 http-engine 加载之前完成的。