Ajout crt-list
This commit is contained in:
parent
341b8b73b8
commit
c050e267be
|
@ -147,6 +147,22 @@ Tous les détails de configuration pour l'attribut `crt` sont consultables sur <
|
|||
|
||||
Dans le cas où HAProxy gère plusieurs domaines dont certains seulement ont un certificat SSL, HAProxy enverra par défaut le certificat défini par la directive `crt`. Si il pointe sur un répertoire, un des certificats du répertoire (ça ne semble pas être le premier/dernier par ordre alphabétique) sera envoyé. Pour éviter ce comportement, on peut rajouter la directive `strict-sni`. Dans ce cas, si HAProxy ne trouve pas le certificat qui correspond au domaine demandé par le client, il retournera l'erreur SSL *SSL_ERROR_BAD_CERT_DOMAIN*.
|
||||
|
||||
Il est aussi possible de désigner un fichier contenant la liste de tout les PEM :
|
||||
|
||||
~~~
|
||||
frontend fe_https
|
||||
bind 0.0.0.0:443 ssl crt-list /etc/ssl/crt-list
|
||||
~~~
|
||||
|
||||
Le fichier crt-list contient le chemin des fichiers PEM, ligne par ligne, comme ceci :
|
||||
|
||||
~~~
|
||||
/chemin/vers/fichier1.pem
|
||||
/chemin/vers/fichier2.pem
|
||||
/chemin/vers/fichier3.pem
|
||||
~~~
|
||||
|
||||
|
||||
#### Terminaison SSL
|
||||
|
||||
Si HAProxy doit faire la **terminaison SSL et dialoguer en clair** avec le backend, on se contente de transmettre la requête.
|
||||
|
|
Loading…
Reference in a new issue