ssl - 带有 SSL 和 Notls 的 haproxy-6ren

ssl - 带有 SSL 和 Notls 的 haproxy

转载作者：太空宇宙更新时间：2023-11-03 12:48:58

25

4

我已经设置了新版本的 haproxy，但我需要禁用 TLS，并且“notlsv1”关键字不起作用。在我的实际配置中，我使用 stud 来管理带有这些参数的 https session :

-B 1000 -n 8 -b 127.0.0.1 8080 -f *,443 --ssl -c ALL --write-proxy

我正在尝试用新的 haproxy 版本替换他。

我的配置文件:

global
  log 127.0.0.1   local0 info
  maxconn 32000
  user haproxy
  group haproxy
  daemon
  nbproc 1
  stats socket    /tmp/haproxy.sock

defaults
  timeout connect 10000
  timeout client 30000
  timeout server 30000

listen ha_stats 0.0.0.0:8088
  balance source
  mode http
  timeout client 30000ms
  stats enable
  stats uri /lb?stats

frontend https-requests
   mode http
   bind :80
   bind :443 ssl crt ./haproxy.pem notlsv1
   acl is_front hdr(host) -i front.mydomain.com
   acl is_service hdr(host) -i service.mydomain.com
   use_backend bkfront if is_front
   use_backend bkservice if is_service

   default_backend mydomain.com

backend mydomain.com
    mode http
    server mywebsite www.mydomain.com:80

backend bkfront
    mode http
    balance roundrobin
    option httpchk GET / HTTP/1.1\r\nHost:\ front.mydomain.com

     server web05 192.168.200.5:80 check

    backend bkservice
      mode http
      balance roundrobin
      option httpchk GET / HTTP/1.1\r\nHost:\ service.mydomain.com

      server web01 192.168.200.1:80 check

http 和 https session 在 firefox 上工作得很好，但我在 chrome 和 Internet explorer 上有问题。为了解决这些问题，对于 Stud，我需要添加 --ssl。

谢谢，

解决方案:

感谢 Willy 的帮助。下面我给出了解决这个问题的命令:

wget http://haproxy.1wt.eu/download/1.5/src/devel/haproxy-1.5-dev12.tar.gz
wget http://haproxy.1wt.eu/download/1.5/src/snapshot/haproxy-1.5-dev12-patches-LATEST.tar.gz
tar xvzf haproxy-1.5-dev12.tar.gz
mv haproxy-1.5-dev12-patches-LATEST.tar.gz haproxy-1.5-dev12
cd haproxy-1.5-dev12/
tar xvzf haproxy-1.5-dev12-patches-LATEST.tar.gz
patch -p1 < haproxy-1.5-dev12-patches-20121009/*.diff
make TARGET=linux26 USE_OPENSSL=1
sudo make PREFIX=/opt/haproxy-ssl install

并替换:

bind :443 ssl crt ./haproxy.pem notlsv1

到:

bind :443 ssl crt ./haproxy.pem force-sslv3

最佳答案

这是因为在 OpenSSL 中，notlsv1 仅禁用 TLSv1.0，而不是更高版本!如果你需要这个，你最好从站点下载最新的快照并使用“force-sslv3”而不是“notlsv1”。它将强制只使用 SSLv3 并执行您当前使用 stud 的操作。

关于ssl - 带有 SSL 和 Notls 的 haproxy，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12796181/

25

4

0

文章推荐： python - 在其他列表项中查找列表项的列表索引

文章推荐： c# - TryParseExact 方法如何在多格式数组中工作

文章推荐： android - 使用 RecyclerView 项目的共享元素转换 - Android

文章推荐： python - oct2py - 在 python 中使用线程调用 Octave 函数

haproxy - Haproxy 中的弹性二叉搜索树
我只是看了一下HAproxy的源码来了解它是如何实现的，我看到了一个有趣的数据结构，叫做Elastic Binary Search tree .它似乎与二叉搜索树非常相似。但我想知道为负载均衡器选择这
haproxy - HAProxy 支持集群吗？
我正在 AWS 上部署 NodeJS 应用程序。目前的结构是 ELB 1 个 HAProxy 实例 2+ 个运行 NodeJS 应用程序的 EC2 实例 Single HA Proxy 实例确保
haproxy - 恢复 HAProxy 统计信息
更改配置文件时，我使用以下命令重启 HAProxy: /usr/local/sbin/haproxy -f /etc/haproxy.cfg -p /var/run/haproxy.pid -sf $
haproxy - 结合 HAProxy 统计数据？
我有两个 HAProxy 实例。两个实例都启用了统计信息并且工作正常。我正在尝试将两个实例的统计信息合并为一个，以便我可以使用单个 HAProxy 来查看前端/后端统计信息。我试图让两个 hapro
haproxy - 验证 haproxy.cfg
在重新启动 HAProxy 服务之前，有什么方法可以验证 HAProxy haproxy.cfg 文件吗？例如:较大的 haproxy.cfg 文件中可能存在小的拼写/语法错误。我搜索了多个论坛，但找
haproxy - 在 HAProxy 中连接字符串
我希望在 HAProxy 中有一个限制规则，限制用户加载任何特定路径的速率，但我不知道在 HAProxy 中连接字符串的方法(至少在生成棍子 table 的 key )。所以我想要的是 tcp-req
haproxy - 我可以将一个大的 HAProxy 配置文件拆分为多个较小的文件吗？
我正在构建一个具有多个前端和后端的 haproxy 配置文件。它将有数百行长，我宁愿将其分成单独的文件，用于我想要负载平衡的每个不同网站。 HAProxy 是否提供从主 haproxy.cfg 文件链
haproxy - Upstart 工作(haproxy)
我正在使用以下命令启动 HA 代理: sudo etc/init.d/haproxy start 我使用以下方法停止 HA 代理: sudo etc/init.d/haproxy stop 我如何为
haproxy - 通过多个前端部分减少 haproxy acl 中的重复
我使用 haproxy 和 stunnel 处理 SSL(并使用代理模式来保留 haproxy 的原始 IP)。我有几个 acl 测试，根据域、 header 或路径重定向到不同的后端。问题是，无
haproxy - selinux 拒绝 haproxy 连接？
我看到系统日志中弹出这些消息: Mar 10 12:51:35 db1 kernel: [5851729.958138] type=1400 audit(1457614295.823:2925931)
haproxy - 禁用 "Connect from"登录 haproxy
我在 haproxy.cfg 的默认部分有这个选项: option dontlog-normal option dontlognull 但是在日志文件中仍然有这种类型的日志行: localhost
haproxy - 使用 HAProxy 重定向 URL 路径并保留查询字符串
我们使用以下方法将 URL 映射文件加载到 HAProxy 中: http-request redirect location %[capture.req.uri,map(/etc/haproxy/r
haproxy - 如何在 HAProxy 中查看 tcp 连接调试信息
我目前正在重构我们在生产服务器上使用的 haproxy 配置，以从中央服务器转发 TCP 流量。目标是让一切都与 docker 容器一起工作，以帮助提高部署可靠性。到目前为止一切都进展顺利，但现在我
haproxy - 如何增加 HAProxy 中的 session 限制
我在我的 HAProxy 统计报告中看到 Sessions Curr、Max、Limit 均为 2000。如何将最大和限制增加到 2000 以上？最佳答案使用maxconn Sets the m
haproxy - 我可以使用通配符 SNI 与 HAProxy 匹配吗？
我环顾四周，试图找到一个 HAProxy 匹配 SNI 通配符的示例，我的搜索提出了类似标题但与证书无关的问题。具体来说，我需要使用 acme/letsencyrpt 为 dvsni 路由 nonc
haproxy - 如何在 haproxy 配置上启用 TLSv1.0
我们有一个 haproxy 实例，我们的一个应用程序仅支持 TLSv1.0。当它尝试通过此 haproxy 连接时，它会因握手失败而失败。如何在此 haproxy 实例上启用 TLSv1.0 支持。
haproxy - 使用 HAPROXY 阻止 HTTP 方法
如何构建HAPROXY配置文件来阻止特定HTTP方法的请求？我们开始发现许多攻击使用我们的应用程序不支持的方法。我们宁愿拒绝负载均衡器的流量，也不愿让我们的应用程序陷入困境。最佳答案尝试将其放入
haproxy - 当后端关闭时，haproxy 是否缓冲 tcp 请求正文？
我使用 haproxy 1.6.4 作为 TCP(不是 HTTP)代理。我的客户正在发出 TCP 请求。他们不等待任何响应，他们只是发送数据并关闭连接。当所有后端节点都关闭时，haproxy 的行为
haproxy - 为 HAproxy 2.x 替换 regrep
我需要使用先前配置的 HAproxy v1.8 来管理服务器。更新到 v2.4 后，我注意到有关不再使用 regrep 的错误: [ALERT] (1574) : parsing [/etc/h
haproxy - 当所有后端服务器都关闭时，如何让 HAProxy 拒绝 TCP 连接
我们使用 HAProxy 将传入的 TCP 连接转发到使用原始 TCP 的单独服务器。我们看到的问题是客户端连接被接受然后关闭而不是立即被拒绝。由于我们启用了健康检查，HAProxy 有什么方法可以解

首页

博学

6Ren·AI

商城

ssl - 带有 SSL 和 Notls 的 haproxy