个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
27
4
我在两个 VPS 中有大约 100 个类似的网站。我想使用 HAProxy 动态切换流量,但同时我想添加一个 SSL 证书。
我想使用添加一个变量来调用每个网站的特定证书。例如:
frontend web-https
bind 0.0.0.0:443 ssl crt /etc/ssl/certs/{{domain}}.pem
reqadd X-Forwarded-Proto:\ https
rspadd Strict-Transport-Security:\ max-age=31536000
default_backend website
我还想检查 SSL 证书是否真的可用,如果不可用,则通过重定向切换到 HTTP。
使用 HAProxy 可以吗?
最佳答案
这可以做到,但 TLS (SSL) 不允许您按照您设想的方式进行。
首先,HAProxy 允许您指定默认证书和附加证书的目录。
来自documentation for the crt keyword
If a directory name is used instead of a PEM file, then all files found in that directory will be loaded in alphabetic order unless their name ends with '.issuer', '.ocsp' or '.sctl' (reserved extensions). This directive may be specified multiple times in order to load certificates from multiple files or directories. The certificates will be presented to clients who provide a valid TLS Server Name Indication field matching one of their CN or alt subjects. Wildcards are supported, where a wildcard character '*' is used instead of the first hostname component (eg: *.example.org matches www.example.org but not www.sub.example.org).
If no SNI is provided by the client or if the SSL library does not support TLS extensions, or if the client provides an SNI hostname which does not match any certificate, then the first loaded certificate will be presented. This means that when loading certificates from a directory, it is highly recommended to load the default one first as a file or to ensure that it will always be the first one in the directory.
因此,您所需要的只是一个包含 pem 文件中每个证书/链/ key 的目录,以及像这样修改您的配置:
bind 0.0.0.0:443 ssl crt /etc/haproxy/my-default.pem crt /etc/haproxy/my-cert-directory
请注意,您还应该添加 no-sslv3 .
I want to use add a variable to call te specific certificate for each website
如文档中所述,如果浏览器发送服务器名称标识 (SNI),则 HAProxy 将自动使用适当的证书与浏览器协商。
因此,可配置的证书选择不是必需的,但更重要的是,这是不可能的。 SSL/TLS 不能那样工作(任何地方)。在浏览器成功协商安全通道之前,您不知道浏览器将请求哪个网站,因为浏览器尚未发送请求。
如果浏览器不使用 SNI——这个问题应该几乎完全不相关了——或者如果文件中没有与 SNI 中显示的主机名相匹配的证书——那么默认证书用于与浏览器协商。
I'd like also check if the ssl is real available and in case is not available switch to http with a redirect
这也是不可能的。请记住,首先协商加密,然后才是浏览器发送的 HTTP 请求。
因此,用户永远不会看到您的重定向,除非他们绕过浏览器的安全警告——他们必须看到,因为默认证书中的主机名与浏览器希望在证书中看到的主机名不匹配。
在这一点上,强制他们返回 http 没有什么意义,因为通过绕过浏览器安全警告,他们已经建立了一个连接——同时——不受信任但仍然加密。连接在技术上是安全的,但用户在地址栏中有一个红色的×,因为浏览器正确地认为证书无效(由于主机名不匹配)。但在用户坚持绕过警告的情况下,浏览器仍然使用无效证书建立安全通道。
如果你真的想在所有这些之后重定向,你需要看一下 layer 5 fetches .您需要验证 Host header 是否与 SNI 或默认证书匹配,如果您的证书是通配符,您也需要适应它,但这仍然只会发生 在用户绕过安全警告之后。
想象一下,如果事情如此简单,没有有效证书的 Web 服务器可以通过简单地重定向流量来劫持流量,而不需要浏览器要求服务器的证书有效(或用户故意采取行动来绕过警告),并且它应该变得显而易见为什么你最初的想法不仅行不通,而且实际上不应该行得通。
另请注意,从配置目录加载的证书都是在启动时加载的。如果您需要 HAProxy 发现新的或丢弃旧的,则需要热重启 HAProxy(通常是 sudo service haproxy reload)。
关于ssl - 多域的 HAProxy 动态 SSL 配置,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41315227/
27
4
0
这是我的本地域名 http://10.10.1.101/uxsurvey/profile/dashboard 在 Controller 中,我为用户列表设置了一个操作 redirect(control
要处理 Canonical URL,最佳做法是执行 301 重定向还是更好地为 www 和非 www 域使用相同的 IP 地址? 例如: 想要的规范 URL/域是 http://example.com
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
我想创建一个 weblogic 集群,其中有两个托管服务器,每个服务器在物理上独立的远程计算机上运行 根据weblogic文档 All Managed Servers in a cluster mus
我正在运行 grails 3.1.4,但在创建允许我将多个域对象绑定(bind)到其他几个域对象的模式时遇到了问题。作为我正在尝试做的一个例子: 我有三个类(class)。书籍、作者和阅读列表。 作者
我试图使用@count函数来根据它获取数据,但是在没有崩溃报告的情况下它以某种方式崩溃了。 这是代码 class PSMedia: Object { @objc dynamic var id
有谁知道是否有办法只输入字母字符而不输入数字?我想过这样的事情 CREATE DOMAIN countryDomain AS VARCHAR(100) CHECK( VALUE ??? );
我的代码: const checkoutUrl = 'https://example.com/checkout/*' window.onload = startup() function st
一些不是我编写的应用程序,也不是用 PHP 编写的,它为域 www.example.com 创建了一个 cookie。 我正在尝试替换该 cookie。所以在 PHP 中我做到了: setcookie
什么是 oauth 域?是否有任何免费的 oauth 服务?我可以将它用于 StackApps registration 吗? ?我在谷歌上搜索了很多,但找不到答案。 最佳答案 这是redirect_
自从 In October 2009, the Internet Corporation for Assigned Names and Numbers (ICANN) approved the cre
我使用 apache 作为我的应用程序 Web 服务器的代理,并希望即时更改与 sessionid cookie 关联的域名。 该cookie有一个与之关联的.company.com域,我想使用apa
我只想托管一个子域到cloudflare。我不想将主域名的域名服务器更改为他们的域名服务器。真的有可能吗? 最佳答案 是的,这是可能的,但是需要通过CloudFlare合作伙伴进行设置,或者您需要采用
When using socket in the UNIX domain, it is advisable to use path name for the directory directory m
想象两个共享一个域类的 Grails 应用程序。也许是 Book 域类。 一个应用程序被标识为数据的所有者,一个应用程序必须访问域数据。类似于亚马逊和亚马逊网络服务。 我想拥有的应用程序将使用普通的域
我有一个包含字段“URL”的表单。第一部分需要用户在文本框中填写。第二部分是预定义的,显示在文本框的右侧。 例如,用户在文本框中输入“test”。第二部分预定义为“.example.com”。因此,总
如果我要关闭并取消分配 azure 中的域 Controller ,从而生成新的 vm Generationid,我需要采取哪些步骤来恢复它? 最佳答案 what steps do I need to
我想尝试使用 Azure 作为托管提供商(我有一个域)。我读过那篇文章https://learn.microsoft.com/en-us/azure/app-service-web/web-sites
所以.... 我想知道是否有人可以在这方面协助我? 基本上,我已经创建了一个自托管的Docker容器,用作构建代理(Azure DevOps) 现在,我已经开始测试代理,并且由于我们的放置文件夹位于W
我是一名优秀的程序员,十分优秀!