Сценарий, у нас есть два сервера, которые находятся в другой сети. Мы хотим иметь ssl коммуникацию от клиента, чтобы выйти напрямую и от фронтенда до бэкенда!
фронтенда, который в состоянии получить ssl трафик и завершить ssl, после этого в бэкенде ssl коммуникация, не происходит, ошибка следует как
"Сервер nodes/web02 снижается, причина: Layer6 недопустимый ответ, информация: "SSL квитирует отказ", проверяют duration:546ms"
Это - мой hapoxy файл конфигурации
global
log 127.0.0.1 local1 debug
maxconn 4000
daemon
uid 99
gid 99
stats socket /tmp/haproxy.stats level admin
defaults
mode http
log global
option forwardfor
option http-server-close
timeout server 5s
timeout connect 5s
timeout client 5s
frontend www-https
bind <Ip-address>:443 ssl crt /home/user/SSL/domain-name.in.pem
reqadd X-Forwarded-Proto:\ https
default_backend nodes
backend nodes
balance roundrobin
cookie JSESSIONID prefix indirect nocache
server web01 <IP-address>:8443 ssl verify none check cookie web01
server web02 <IP-address>:8443 ssl crt /home/SSL/domain-name.in.pem ca-file /home/SSL/gdig2.crt verify required check cookie web02
любая справка в этом значительно ценившем
Мы хотим иметь ssl-связь от ... внешнего интерфейса к внутреннему
Это не имеет смысла: нет TCP-связи между внешним интерфейсом haproxy и внутренним интерфейсом haproxy. Это внутреннее логическое отображение процесса haproxy. Ваш фактический внутренний TLS настраивается на самом внутреннем сервере
из web02
.
Итак, сбой установления связи SSL
вы получение происходит из-за того, что HAproxy не может аутентифицировать сертификат web02, используя данный сертификат ca-file
. Или ваша аутентификация клиента не работает (тот, который указан через server web02 ... ssl crt ...
). Глядя на внутреннюю строку:
server web02 <IP-address>:8443 ssl crt /home/SSL/domain-name.in.pem ca-file /home/SSL/gdig2.crt verify required check cookie web02
Вы уверены, что собирались использовать аутентификацию клиента? Если да, проверьте ваш сертификат клиента: для меня очень необычно использовать тот же сертификат для аутентификации клиента, который вы также используете для обслуживания TLS в своей спецификации haproxy внешнего интерфейса ( /home/SSL/domain-name.in.pem
).