Complément d'info pour le SSL
This commit is contained in:
jlecour
parent
91571a38f4
commit
6a9b15d870
|
|
@ -108,9 +108,26 @@ backend myback
|
|||
# For more information, see ciphers(1SSL). This list is from:
|
||||
# https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
|
||||
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
|
||||
ssl-default-bind-options no-sslv3
|
||||
ssl-default-bind-options no-sslv3 no-tls-tickets
|
||||
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
|
||||
ssl-default-server-options no-sslv3 no-tls-tickets
|
||||
~~~
|
||||
|
||||
Dans un frontend il faut ensuite faire un "binding" avec des arguments pour le SSL :
|
||||
|
||||
~~~
|
||||
frontend fe_https
|
||||
bind 0.0.0.0:443 ssl crt /etc/ssl/haproxy/example_com.pem
|
||||
~~~
|
||||
|
||||
Le fichier `example_com.pem` doit contenir le certificat ainsi que la clé privée et éventuellement des paramètres Diffie-Hellman (tout au format PEM).
|
||||
|
||||
Il est possible d'indiquer plusieurs fois `crt /chemin/vers/fichier.pem` pour avoir plusieurs certificats possibles. HAProxy utilisera alors le mécanisme de SNI. Si on indique plutôt un dossier (par exemple `/etc/ssl/haproxy/`) tous les fichiers trouvés seront chargé par ordre alphabétique.
|
||||
|
||||
Pour chaque fichier PEM trouvé, HAProxy cherchera un fichier `.ocsp` du même nom. Il peut être vide ou contenir une réponse OCSP valide (au format DER). Cela active le mécanisme de « OCSP stapling »
|
||||
|
||||
Touts les détails de configuration pour l'attribut `crt` sont consultables sur <http://cbonte.github.io/haproxy-dconv/1.5/configuration.html#5.1-crt>
|
||||
|
||||
### Exemple avec plusieurs backends et du « sticky session »
|
||||
|
||||
~~~
|
||||
|
|
|
|||
Loading…
Reference in a new issue