Encaminhar tráfego SSL e certificados de autenticação por meio do HAProxy

tag-icon tag-icon nginx ssl haproxy
Encaminhar tráfego SSL e certificados de autenticação por meio do HAProxy

Eu tenho um nginx do meu cliente onde posso POST com sucesso com:

curl -v --cacert ca.crt --cert client.crt --key client.key -POST https://nginx:8443/api/ -H 'Content-Type: application/json' -H 'cache-control: no-cache' [email protected]

Agora instalei um haproxy na frente do nginx e estou tentando fazer um POST da mesma forma, sem sucesso:

curl -v --cacert ca.crt --cert client.crt --key client.key -POST http://haproxy:8443/api/ -H 'Content-Type: application/json' -H 'cache-control: no-cache' [email protected]

Erro:

 <center>The plain HTTP request was sent to HTTPS port</center>
 <hr><center>nginx</center>

Aqui está minha configuração haproxy:

global
  log         127.0.0.1 local2
  chroot      /var/lib/haproxy
  pidfile     /var/run/haproxy.pid
  maxconn     4000
  user        haproxy
  group       haproxy
  daemon
  stats socket /var/lib/haproxy/stats

defaults
  mode                    tcp
  log                     global
  option                  tcplog
  option                  dontlognull
  option http-server-close
  option forwardfor       except 127.0.0.0/8
  option                  redispatch
  retries                 3
  timeout http-request    10s
  timeout queue           1m
  timeout connect         10s
  timeout client          1m
  timeout server          1m
  timeout http-keep-alive 10s
  timeout check           10s
  maxconn                 3000

frontend  main *:8443
  acl url_static       path_beg       -i /static /images /javascript /stylesheets
  acl url_static       path_end       -i .jpg .gif .png .css .js
  use_backend static          if url_static
  default_backend             app

backend static
  balance     roundrobin
  server      static 127.0.0.1:8443 

backend app
  mode       tcp
  balance     roundrobin
  server  nginx nginx01:8443

Quero encaminhar o tráfego SSL através do HAProxy e passar os certificados de autenticação para o nginx. Eu sei que não faz sentido ter dois LBs, mas não posso modificar o nginx e o servidor API por trás, mas os clientes serão internos. Como você pode ver neste ponto, consigo acessar o nginx, mas o haproxy não passa os certificados e as chaves da solicitação para o backend do nginx. Estou esquecendo de algo? Isso é algo que posso alcançar?

ps: Se eu estiver configurando 'ssl verify none' no back-end, estou recebendo 'Nenhum certificado SSL obrigatório foi enviado'. Se estou configurando 'send-proxy' no back-end, recebo '400 Bad Request' do nginx.

Responder1

Você precisará adicionar a configuração SSL ao haproxy e definir alguns cabeçalhos que serão encaminhados para o nginx.

# your other config from above
 
backend app
  mode       tcp
  balance     roundrobin
  server  nginx nginx01:8443 ssl ca-file <The ca from nginx backend>

Responder2

a solução implementada foi com pass-through SS/TLS dehttps://www.haproxy.com/documentation/haproxy/deployment-guides/tls-infrastructure/ Configurando frontend e backend para modo tcp consegui passar os certificados e nginx validar e fazer a autenticação.

informação relacionada