From 6a9b15d8705d71d44406cece8f786af84b97ed35 Mon Sep 17 00:00:00 2001
From: jlecour <jlecour+gitit@evolix.fr>
Date: Fri, 6 Jan 2017 14:48:34 +0100
Subject: [PATCH] =?UTF-8?q?Compl=C3=A9ment=20d'info=20pour=20le=20SSL?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoHaproxy.md | 19 ++++++++++++++++++-
 1 file changed, 18 insertions(+), 1 deletion(-)

diff --git a/HowtoHaproxy.md b/HowtoHaproxy.md
index 9c9b3aeb..59d3dd4b 100644
--- a/HowtoHaproxy.md
+++ b/HowtoHaproxy.md
@@ -108,9 +108,26 @@ backend myback
     # For more information, see ciphers(1SSL). This list is from:
     #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
     ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
-    ssl-default-bind-options no-sslv3
+    ssl-default-bind-options no-sslv3 no-tls-tickets
+    ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
+    ssl-default-server-options no-sslv3 no-tls-tickets
 ~~~
 
+Dans un frontend il faut ensuite faire un "binding" avec des arguments pour le SSL :
+
+~~~
+frontend fe_https
+    bind 0.0.0.0:443 ssl crt /etc/ssl/haproxy/example_com.pem
+~~~
+
+Le fichier `example_com.pem` doit contenir le certificat ainsi que la clé privée et éventuellement des paramètres Diffie-Hellman (tout au format PEM).
+
+Il est possible d'indiquer plusieurs fois `crt /chemin/vers/fichier.pem` pour avoir plusieurs certificats possibles. HAProxy utilisera alors le mécanisme de SNI. Si on indique plutôt un dossier (par exemple `/etc/ssl/haproxy/`) tous les fichiers trouvés seront chargé par ordre alphabétique.
+
+Pour chaque fichier PEM trouvé, HAProxy cherchera un fichier `.ocsp` du même nom. Il peut être vide ou contenir une réponse OCSP valide (au format DER). Cela active le mécanisme de « OCSP stapling »
+
+Touts les détails de configuration pour l'attribut `crt` sont consultables sur <http://cbonte.github.io/haproxy-dconv/1.5/configuration.html#5.1-crt>
+
 ### Exemple avec plusieurs backends et du « sticky session »
 
 ~~~