Doc HAProxy pour challenge ACME

2023-01-03 17:52:21 +01:00 · 2023-01-03 17:52:21 +01:00 · d71a67bb5a
parent 1f8616a485
commit d71a67bb5a
1 changed files with 24 additions and 0 deletions
--- a/HowtoHaproxy.md
+++ b/HowtoHaproxy.md
@ -746,6 +746,30 @@ backend static
     16   '"' http_request '"'                      "GET /index.html HTTP/1.1"
 ~~~

+## Challenge ACME
+
+Si vous avez besoin de valider des challenges ACME (pour la création/renouvellement de certificats Let's Encrypt, par exemple), il est possible que le proxy fasse relai.
+
+Il faut d'abord que le frontend qui écoute sur le port de challenge (`80` pour `http-01`) détecte les requêtes du challenge et utilise alors un backend dédié.
+Si votre challenge est fait localement ou sur un autre serveur, il faudra ajuster l'adresse du serveur web faisant réellement le challenge.
+
+~~~
+frontend fe_www
+    bind :80
+    bind :443 ssl crt /etc/ssl/haproxy/ alpn h2,http/1.1
+    option  forwardfor
+
+    acl letsencrypt path_dir -i /.well-known/letsencrypt
+
+    use_backend be_letsencrypt if letsencrypt
+    default_backend be_www
+
+backend be_letsencrypt
+    server localhost 192.168.2.1:80 maxconn 10
+~~~
+
+Le processus qui générera ensuite le certificat devra générer un fichier pour HAProxy, contenant la concaténation du certificat, l'éventuelle chaîne intermédiaire, la clé privée, les eventuels paramètres Diffie-Helmann et l'éventuelle réponse OCSP.
+
 ## HAPEE – HAProxy Enterprise Edition

 HAProxy est également disponible en édition « Enterprise », avec des fonctionnalités supplémentaires, un support direct et des outils additionnels.