Portál AbcLinuxu, 12. května 2025 21:34

Dotaz: HAproxy konfiguracia

7.10.2022 21:44 darren197
HAproxy konfiguracia
Přečteno: 337×
Odpovědět | Admin
Ahojte, migrujem konfiguraciu HAproxy do ineho prostredia a potreboval by som pomoct. S HAproxy nemam velke skusenosti. Potrebujem rozlisit, ci je skutocne nastavene mutual SSL, resp. ci je overovany aj klient. Ide o to, ze pracujem uz s existujucim konfigom a potrebujem vediet ci dava zmysel to ako je to nakonfigurovane. V dokumentacii a aj na inych strankach som nasiel, ze ked chceme aby bol overovany aj klient, musime do "bind" pridat "verify required" a "ca-file" kde je cesta k intermediate certifikatu, s ktorym overujeme, ci klientsky certifikat bol podpisany nasou CA.

Ukazka: 
listen sluzba1
   bind 192.168.56.20:443 ssl crt /etc/haproxy/certs/ssl.crt verify required ca-file /etc/haproxy/certs/intermediate-ca.crt 
   mode http
   balance roundrobin
   maxconn 100000
   server s2 192.168.1.26:8080 check

listen sluzba2
   bind 192.168.56.22:443 ssl crt /etc/haproxy/certs/ssl.crt ca-file /etc/haproxy/certs/intermediate-ca.crt 
   mode http
   balance roundrobin
   maxconn 100000
   server s2 192.168.1.66:8080 check

# pri niektorych bind mam este obmedzenie sifier, zakaz sslv3
# niekde mode tcp
Moja otazka spociva v tom, ze "verify required" v sluzba2 sice nie je, ale "ca-file" tam je nastaveny. Je v tomto pripade ten "ca-file" nastaveny zbytocne? Lebo takyto config mam a nechapem preco to tam je, ked "verify required" tam nie je. Nie je tam nejake implicitne pravidlo alebo cosi, ked je nastavene iba "ca-file", ze to checkuje certifikat clienta (hoci len optionally)?

Ci tym, ze tam chyba "verify required" (pripadne "verify optional") tak nie je realizovana ABSOLUTNE ziadna kontrola certifikatu klienta, resp. HAproxy vobec neriesi ci klient ma cert alebo nie?

A este otazka, v dokumentacii su navody ako nastavit rozne pripady, ked napr. sa niekto pripaja s certom a niekto bez, ked ma niekto expirovany certifikat atd, vzdy tam davaju "verify optional"...cize ak to chapem spravne, tak pri "verify required" MUSIS mat certifikat a certifikat musi byt spravny, cize overeny CA a nesmie byt expirovany.

Budem vdacny za akykolvek feedback. Dakujem.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

7.10.2022 22:57 X
Rozbalit Rozbalit vše Re: HAproxy konfiguracia
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jabka, hrusky. V kostce, tri ruzne situace a kazda ma jinou konfiguraci.

Terminovani SSL z venku: 
bind 10.0.0.3:443 ssl crt /etc/ssl/certs/mysite.pem
, volitelny re-pack SSL pro backend: 
backend ...
    server ... ssl ca-file /etc/ssl/certs/ca.pem
, overovani SSL klenta: 
bind 10.0.0.3:443 ... verify required ca-file /etc/ssl/certs/ca.pem
Takze souhlasim s nazorem, ze to druhe 'ca-file' je tam zbytecne. Odpoved na otazku: Chapes to spravne.

https://www.haproxy.com/blog/haproxy-ssl-termination/ https://www.haproxy.com/blog/ssl-client-certificate-management-at-application-level/
7.10.2022 23:09 darren197
Rozbalit Rozbalit vše Re: HAproxy konfiguracia
Ahoj, super, dakujem za odpoved :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.