0

我有一个双向 TLS 设置,HAProxy 终止传入的 SSL 连接。我需要在后端执行客户端证书验证,而不是在 haproxy 端,因为我们有一个动态信任库,我不能只设置一个 ca 文件并将所有验证逻辑委托给 haproxy。常规设置工作正常(haproxy 针对 CA 证书验证客户端证书):

bind *:443 ssl crt /etc/certs/haproxy.pem verify required ca-file /etc/certs/ca.crt
http-request redirect scheme https unless { ssl_fc }
http-request set-header X-SSL-ClientCert          %{+Q}[ssl_c_der,base64]

后端X-SSL-ClientCert正确接收,但这还不够。如果verify required ca-file /etc/certs/ca.crt去掉 haproxy 上的验证跳过验证,X-SSL-ClientCert在后端读取时为空,即 HAProxy 不再使用客户端证书设置标头。有想法该怎么解决这个吗?

4

2 回答 2

0

好的,经过一些修补后,我偶然发现了以下内容:

HAProxy 文档https://cbonte.github.io/haproxy-dconv/2.3/configuration.html#5.2-verifyverify为:声明了两个选项[none|required],但似乎有一个未记录的选项,即,optional这似乎可以解决问题:

bind *:443 ssl crt /etc/certs/haproxy.pem verify optional ca-file /etc/certs/ca.crt
http-request set-header X-SSL-Client-Cert          %{+Q}[ssl_c_der,base64]
http-request set-header X-SSL-Client-CN            %{+Q}[ssl_c_s_dn(cn)]
http-request set-header X-SSL-Client-Verify        %[ssl_c_verify]
于 2021-01-08T17:08:11.170 回答
0

你确实有正确的想法。

另一方面,我认为有一个更具可读性的写作。

在你的 /etc/hapee/hapee-lb.cfg

bind :443 ssl crt-list /etc/hapee/certs-file

在您的 /etc/hapee/certs 文件中

cert_example1.pem [verify optional ca-file /etc/hapee/certs/ca.crt]
cert_example2.pem

因此,您可以根据您的 SNI 轻松列出所有证书以及可能的验证选项。

后端匹配

backend
        http-request set-header X-SSL-Client-DN            %[ssl_c_s_dn]
        http-request set-header X-SSL-Client-Cert          %{+Q}[ssl_c_der,base64]
        http-request set-header X-SSL-Client-CN            %{+Q}[ssl_c_s_dn(cn)]
        http-request set-header X-SSL-Client-Verify        %[ssl_c_verify]
于 2021-01-11T09:05:18.750 回答