Как настроить ssl backend в haproxy?

Question

[mr_blond97]

Есть сервер с сайтом, сервер с haproxy, доменное имя и ssl сертификат. Сертификат находится на сервере с сайтом. Как настроить ssl backend в таком случае, что писать в конфиге haproxy? Haproxy нужен для того, что бы в случае отказа основного сервера переключить сайт на резервный сервер.

текущий конфиг haproxy:

global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
user haproxy
group haproxy
daemon

defaults
log global
mode http
option httplog
option dontlognull
contimeout 5000
clitimeout 50000
srvtimeout 50000
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http

frontend tutorial_im
bind *:80
default_backend tutorial_http

backend tutorial_http
balance roundrobin
mode http
server web1 апйписайта:80 check
# server web1 апйпирезервногосервера:80 check

Answer 1

[Андрэ ля'Бальзам]

Сертификат придётся положить на сервер HAP и прописать его в настройках
Вот инструкция подходящая под вопрос.
https://serversforhackers.com/using-ssl-certificat...

Если будут трудности с переводом или ещё с чем - пиши.

Comments

[mr_blond97]

* Reloading haproxy haproxy [ALERT] 253/140654 (27062) : parsing [/etc/haproxy/haproxy.cfg:41] : 'bind *:443' : unable to load SSL private key from PEM file '/etc/ssl/certs/tw.usdok.ru.pem'.

[Андрэ ля'Бальзам]

mr_blond97: не может загрузить сертификат(приватный ключ) из PEM файла.
Сертификат точно верный и в верном формате и разметке?

Вот подробно первый же ответ о различиях, уверены что файл именно PEM?
serverfault.com/questions/9708/what-is-a-pem-file-...

Кстати сертификат не для IIS создавался? Я как-то его сертификаты ни разу не использовал, но обычно удостоверяющие центры просят указать для какого WEB сервиса генерируется сертификат.

[mr_blond97]

Центр выдал три файла с такими расширениями: .ca-bundle .crt .p7b. Не ясно как из них сделать один pem файл.

[Андрэ ля'Бальзам]

mr_blond97:
иэээх
www.forum.mista.ru/topic.php?id=528068

ну и раз CA файл есть думаю это будет полезным

bind 10.20.30.40:443 ssl crt /etc/haproxy/pem/server.pem ca-file /etc/haproxy/pem/client-chain.pem verify optional crt-ignore-err all

[mr_blond97]

Пробую как в мануале делать. Работает, если по https:// заходить. Если по http то выдает:
Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

Как можно сделать редирект с http на https?

Вот конфиг

frontend myfrontend
bind *:80
bind *:443
option tcplog
mode tcp
default_backend nodes
backend nodes
mode tcp
balance roundrobin
option ssl-hello-chk
server web01 *.*.*.*:443 check

[Андрэ ля'Бальзам]

mr_blond97: редирект нужно делать 302 ответом силами самого http сервера.

HA прокси возможно умеет оборачивать HTTP в SSL, но не факт и возможно это потребует сложных настроек, проще это сделать на самом веб сервере.