ssl - 带有 SSL 和 Notls 的 haproxy

标签 ssl haproxy

我已经设置了新版本的 haproxy,但我需要禁用 TLS,并且“notlsv1”关键字不起作用。 在我的实际配置中,我使用 stud 来管理带有这些参数的 https session :

-B 1000 -n 8 -b 127.0.0.1 8080 -f *,443 --ssl -c ALL --write-proxy

我正在尝试用新的 haproxy 版本替换他。

我的配置文件:

global
  log 127.0.0.1   local0 info
  maxconn 32000
  user haproxy
  group haproxy
  daemon
  nbproc 1
  stats socket    /tmp/haproxy.sock

defaults
  timeout connect 10000
  timeout client 30000
  timeout server 30000

listen ha_stats 0.0.0.0:8088
  balance source
  mode http
  timeout client 30000ms
  stats enable
  stats uri /lb?stats

frontend https-requests
   mode http
   bind :80
   bind :443 ssl crt ./haproxy.pem notlsv1
   acl is_front hdr(host) -i front.mydomain.com
   acl is_service hdr(host) -i service.mydomain.com
   use_backend bkfront if is_front
   use_backend bkservice if is_service

   default_backend mydomain.com

backend mydomain.com
    mode http
    server mywebsite www.mydomain.com:80

backend bkfront
    mode http
    balance roundrobin
    option httpchk GET / HTTP/1.1\r\nHost:\ front.mydomain.com

     server web05 192.168.200.5:80 check

    backend bkservice
      mode http
      balance roundrobin
      option httpchk GET / HTTP/1.1\r\nHost:\ service.mydomain.com

      server web01 192.168.200.1:80 check

http 和 https session 在 firefox 上工作得很好,但我在 chrome 和 Internet explorer 上有问题。为了解决这些问题,对于 Stud,我需要添加 --ssl。

谢谢,

解决方案:

感谢 Willy 的帮助。下面我给出了解决这个问题的命令:

wget http://haproxy.1wt.eu/download/1.5/src/devel/haproxy-1.5-dev12.tar.gz
wget http://haproxy.1wt.eu/download/1.5/src/snapshot/haproxy-1.5-dev12-patches-LATEST.tar.gz
tar xvzf haproxy-1.5-dev12.tar.gz
mv haproxy-1.5-dev12-patches-LATEST.tar.gz haproxy-1.5-dev12
cd haproxy-1.5-dev12/
tar xvzf haproxy-1.5-dev12-patches-LATEST.tar.gz
patch -p1 < haproxy-1.5-dev12-patches-20121009/*.diff
make TARGET=linux26 USE_OPENSSL=1
sudo make PREFIX=/opt/haproxy-ssl install

并替换:

bind :443 ssl crt ./haproxy.pem notlsv1

到:

bind :443 ssl crt ./haproxy.pem force-sslv3

最佳答案

这是因为在 OpenSSL 中,notlsv1 仅禁用 TLSv1.0,而不是更高版本!如果你需要这个,你最好从站点下载最新的快照并使用“force-sslv3”而不是“notlsv1”。它将强制只使用 SSLv3 并执行您当前使用 stud 的操作。

关于ssl - 带有 SSL 和 Notls 的 haproxy,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12796181/

上一篇:openssl - libcurl 与 OpenSSLUnknown SSL 协议(protocol)连接错误 -(无服务器问候) - 为什么?

下一篇:ssl - Stunnel 是否支持非加密连接?

相关文章:

Python 3.2 Cherrypy 3.2.3 ssl_module pyopenssl 错误

javascript - 如何通过javascript设置图像尺寸? (通过 JS 提供的 SSL Logo ,无尺寸)

haproxy - selinux 拒绝 haproxy 连接?

networking - HAProxy 动态服务器地址

c# - 无法让自托管 Web api 通过 SSL 工作

ssl - 将 .crt 和 .pem 文件转换为 keystore

performance - Haproxy SNI 与 HTTP 主机 ACL 检查性能

mysql - Perl TLS1.2 到 MySql Db

ssl - Haproxy ACL 用于比较 header 中的值

©2024 IT工具网  联系我们