Haproxy关于SSL的各种场景配置

最新推荐文章于 2024-08-11 13:12:43 发布
最新推荐文章于 2024-08-11 13:12:43 发布
阅读量1.1k 收藏 1
点赞数
文章标签: java linux mysql nginx js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47495420/article/details/111148655
版权
本文详细介绍了Haproxy中关于SSL客户端证书的各种配置场景,包括强制客户端提供证书、选择性提供证书、忽略证书过期错误、忽略所有证书错误以及根据SSL错误进行重定向,帮助管理员实现更精细的SSL管理。
摘要由CSDN通过智能技术生成

此文章翻译自haproxy官方文档:https://www.haproxy.com/blog/ssl-client-certificate-management-at-application-level/

1、强制client提供证书

在下面的配置中,仅具有客户端证书的用户被允许在应用程序上建立连接。这可以通过关键字"verify required"来实现。

frontend ft_ssltests
 mode http
 bind 192.168.10.1:443 ssl crt ./server.pem ca-file ./ca.crt verify required
 default_backend bk_ssltests
backend ssltests
 mode http
 server s1 192.168.10.101:80 check
 server s2 192.168.10.102:80 check

如果客户端不提供任何证书,则HAProxy将在SSL握手期间关闭连接,测试如下:

带证书
$ openssl s_client -connect 192.168.10.1:443 -cert ./client1.crt -key ./client1.key
不带证书
$ openssl s_client -connect 192.168.10.1:443
[...]ssl handshake failure[...]
最低0.47元/天 解锁文章
萌兰三太子
关注
Haproxy中的SSL策略
m0_47495420的博客
06-22 513
一、概览haproxy有两种策略支持ssl。1、SSL Termination该策略是在haproxy处终止/解密SSL连接,并将未加密的连接发送到后端服务器的做法。这意味着haprox...
haproxy 负载ssl_在haproxy负载均衡器中配置SSL的教程
weixin_26705651的博客
09-22 342
haproxy 负载sslHi. In this tutorial you will get to know how to implement HTTPS in your servers by using a free certificate from Certbot and implementing it in your Load Balancer with HAProxy. 你好 在本教程中,...
Haproxy 配置文件
Gabriel的博客
07-26 3966
haproxy配置文件大概可以分两段:第一段配置是global配置段即全局配置段,主要是针对haproxy的进程和安全相关的配置;第二段是proxies代理配置段,主要是配置haproxy前端监听那个地址那个端口以及后端server的名称、地址、端口,以及server相关属性等配置;而proxies配置段里又分defaults配置段,这个部分主要是定义后续的backend,listen这两个段的默认配置;什么意思呢?也就是在后面的配置中如果我们没有写对应参数,它默认会继承defaults里的配置
haproxy ssl 配置方式
weixin_34368949的博客
02-10 123
haproxy 代理 ssl 有两种方式1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http2、haproxy 本身只提供代理,后面的web服务器https第一种方式需要编译haproxy 支持ssl,编译参数: make TARGET=linux26 USE_OPENSSL=1 ADDLIB=-lzldd haproxy | grep ss...
全网最详细haproxy配置
最新发布
Zl159753159753的博客
08-11 1865
Haproxy是法国人Willy Tarreau开发的一款高性能的TCP和HTTP负载均衡器,具有广泛的功能和特性,使其在负载均衡和反向代理领域备受推崇。以下是对Haproxy的详细介绍:一、基本概述定义:Haproxy是一个开源的高性能的反向代理或者说是负载均衡服务软件,能够处理大量并发连接,提供高可用性和负载均衡功能。功能:支持双机热备、虚拟主机、基于TCP和HTTP应用代理等功能,同时内置了监控和统计功能,可以实时获取服务器的状态和性能指标。应用场景
ha 配置ssl_Haproxy ssl 配置方式
weixin_40000999的博客
01-14 243
通过haproxy redirect请求重定向的方法实现HTTP跳转HTTPS配置实现http跳转到https,采用redirect重定向的做法,只需在frontend端添加:frontend http-inbind*:80bind *:443 ssl crt /etc/haproxy/aaa.bbb.pemredirect scheme https if !{ ssl_fc }redirect...
ha 配置ssl_haproxy ssl 配置方式
weixin_32282271的博客
01-14 444
haproxy 代理 ssl 有两种方式1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http2、haproxy 本身只提供代理,后面的web服务器https第一种方式需要编译haproxy 支持ssl,编译参数:makeTARGET=linux26USE_OPENSSL=1ADDLIB=-lzlddhaproxy|grepssllibssl.so.10=&...
ha 配置ssl_HAproxy 配置ssl 的几种方式
weixin_35740588的博客
01-14 2071
概述在生产环境中,越来越多的人选择使用https, 也就是ssl 证书,如果你生产环境中也使用了HAproxy,那我们我门就得决定我门如何配置我们的HAproxy来正常来说,我们的HAproxy 作为一个中间件在客户端和我们真正接受请求的服务器中间,如果我们要在这样的格局下启用SSL我们有两个选择SSL Termination 是指我们把解密的工作交给我们的HAproxy来做,然后将揭秘后的请求...
haproxy集成国密ssl功能[上]
一个致力于开源代码学习、分析和交流的博客
02-21 1394
本文详细介绍了如何在haproxy上实现国密ssl的功能,并且介绍了测试环境搭建和对应的测试方法。
部署haproxy+ssl+keepalived
10-14
3. **配置SSL**:根据需求生成或获取SSL证书,确保证书与私钥匹配,并在haproxy配置中启用SSL支持。 4. **配置keepalived**:编写keepalived的配置文件(如`/etc/keepalived/keepalived.conf`),定义虚拟IP、VRRP...
haproxy-3.1 for windows 64位 不支持ssl
06-26
这可以通过在haproxy配置文件中添加必要的SSL证书和密钥来实现,但haproxy-3.1 for Windows 64位版本由于设计原因无法做到这一点。 描述中提到haproxy-3.1包含了运行库,这意味着用户可以直接运行haproxy而无需额外...
haproxy-2.6.5 for windows 64位 不支持ssl
09-22
**haproxy简介** ...由于不支持SSL,它可能不适合处理涉及敏感数据的场景。这个版本由开发人员在Cygwin64 Terminal环境下编译完成,意味着用户可以依赖提供的运行库直接运行,而无需额外安装其他组件。
HAProxy中与ssl相关的配置
vanexph的博客
06-15 1710
ssl相关的众多配置项出现在不同的模块,语法中,主要包括global,bind,server等 一、global ca-base {dir} crt-base {dir} ssl-default-bind-ciphers {ciphers} ssl-default-bind-options [{option}]… ssl-default-server-ciphers {ciphers} ssl-default-server-options [{option}]… ssl-sh-param-file {fi
haproxy配置自签名双向认证ssl
yin_slin的专栏
07-20 4232
本文承接上一篇博文:https://blog.csdn.net/yin_slin/article/details/81130568 为emq集群前端haproxy配置ssl双向认证,采用的方案为:客户端通过ssl访问haproxyhaproxy转发请求到后端不使用ssl。 一、生成自签名证书: 1、生成根证书私钥: openssl genrsa -out ca.key 2048 -pass...
haproxy 代理 ssl 有两种方式
qq_37083821的博客
06-30 737
haproxy 代理 ssl 有两种方式 1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http 2、haproxy 本身只提供代理,后面的web服务器https 第一种方式 需要编译haproxy 支持ssl,编译参数: makeTARGET=linux26USE_OPENSSL=1ADDLIB=-lz lddhaproxy|grepssl libssl.so.10=>/usr/lib64/libssl.so.10(0x00007fb...
SSL Handshake Failure【记一次线上问题处理过程】
热门推荐
浴血重生-学习空间
03-24 3万+
1 现象 客户端抓包:client发送client hello,服务器确认后,没有发送server hello,而是等待超时后,发送FIN包,断开连接。 从客户端抓包来看,客户端怀疑服务端未发送server hello,那就再服务端抓包查看 serverhello 和client hello的数量是否一致。 ssl.handshake.type==2 server hello 的过...
猫头虎分享已解决Bug || SSL握手失败(SSL Handshake Failure):SSLHandshakeException, CertificateVerifyFailed
2301_76147196的博客
02-28 1301
在这篇博客中,我们将详细探讨SSL握手失败的原因,并提供一系列详细的解决步骤。通过具体的操作命令和代码示例,我们将指导你如何有效地解决这个问题,并探讨一些预防措施,帮助你避免将来再次遇到相同的问题。错误类型解决步骤避免策略SSL握手失败1. 更新或替换证书 2. 确保证书链完整 3. 验证CA受信任 4. 协商加密协议和密码套件- 定期检查证书和配置 - 监控证书状态 - 更新安全配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值