Não tenho certeza se entendi exatamente como o haproxy funciona. Tenho sistema composto por poucos servidores com comunicação baseada em http. Quero usar o haproxy como balanceador de carga e algo como servidor https ao mesmo tempo. Deve funcionar da seguinte forma: o usuário escreve o endereço e o haproxy decide - se for http então ele redireciona para https, se for https ele se conecta ao sistema via http. Quero dizer que apenas o cliente com haproxy deve ter conexão https, mas o haproxy com sistema deve ter http. Aqui está a imagem com a arquitetura descrita:
Eu escrevi o arquivo de configuração haproxy e apenas o que recebo é redirecionar de http para https e mostrar o primeiro site - o resto está morto, porque todas as comunicações se parecem com:
cliente --(https)--> haproxy --(https)-->sistema
em vez de
cliente --(https)--> haproxy --(http)-->sistema
É possível criá-lo com haproxy?
Abaixo está meu arquivo de configuração haproxy:
global
pidfile /var/run/haproxy.pid
log 127.0.0.1 local2 debug
maxconn 2048
tune.ssl.default-dh-param 2048
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
defaults
mode http
option forwardfor
option http-server-close
log global
option httplog
option dontlognull
option forwardfor
option http-server-close
option redispatch
option tcp-smart-accept
option tcp-smart-connect
timeout http-request 10s
timeout queue 1m
timeout connect 5s
timeout client 2m
timeout server 2m
timeout http-keep-alive 10s
timeout check 5s
retries 3
compression algo gzip
compression type text/html text/html;charset=utf-8 text/plain text/css text/javascript application/x-javascript application/javascript application/ecmascript application/rss+xml application/atomsvc+xml application/atom+xml application/atom+xml;type=entry application/atom+xml;type=feed application/cmisquery+xml application/cmisallowableactions+xml application/cmisatom+xml application/cmistree+xml application/cmisacl+xml application/msword application/vnd.ms-excel application/vnd.ms-powerpoint
frontend https-in
bind *:80
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/ssl/private/cert.pem
capture request header X-Forwarded-For len 64
capture request header User-agent len 256
capture request header Cookie len 64
capture request header Accept-Language len 64
rspadd Strict-Transport-Security:\ max-age=15768000
option contstats
default_backend share-https
backend share-https
option httpchk GET /share
balance roundrobin
cookie JSESSIONID prefix
server main srv1:9080 cookie main check inter 5000 weight 4
server secondary srv2:9080 cookie secondary check inter 5000 weight 1
Responder1
O problema foi porque o sistema que descrevi era Alfresco - aplicativo chamado "share" possui CSRFPolicy que bloqueava https. De acordo com issosolução:
- Copie a configuração padrão "CSRFPolicy" de:
TOMCAT_HOME/webapps/share/WEB-INF/classes/alfresco/share-security-config.xml
para:
TOMCAT_HOME/shared/classes/alfresco/web-extension/share-config-custom.xml
- Adicione o atributo replace="true":
<config evaluator="string-compare" condition="CSRFPolicy" replace="true">
- Atualizar as propriedadesreferenciadoreorigemcom FQDN (https) do Apache VirtualHost
<referer>https://HAProxyAddress/.*</referer> <origin>https://HAProxyAddress</origin>
E isso é tudo. Funciona para mim.