Précisions pour la terminaison SSL
This commit is contained in:
parent
d5d78bbce0
commit
dec44e7ffa
|
@ -119,6 +119,10 @@ Dans un frontend il faut ensuite faire un "binding" avec des arguments pour le S
|
|||
~~~
|
||||
frontend fe_https
|
||||
bind 0.0.0.0:443 ssl crt /etc/ssl/haproxy/example_com.pem
|
||||
|
||||
http-request set-header X-Forwarded-Proto: https
|
||||
|
||||
default_backend myback
|
||||
~~~
|
||||
|
||||
Le fichier `example_com.pem` doit contenir le certificat ainsi que la clé privée et éventuellement des paramètres Diffie-Hellman (tout au format PEM).
|
||||
|
@ -129,6 +133,26 @@ Pour chaque fichier PEM trouvé, HAProxy cherchera un fichier `.ocsp` du même n
|
|||
|
||||
Touts les détails de configuration pour l'attribut `crt` sont consultables sur <http://cbonte.github.io/haproxy-dconv/1.5/configuration.html#5.1-crt>
|
||||
|
||||
#### Terminaison SSL
|
||||
|
||||
Si HAProxy doit faire la **terminaison SSL et dialoguer en clair** avec le backend, on se contente de transmettre la requête.
|
||||
|
||||
~~~
|
||||
backend myback
|
||||
balance roundrobin
|
||||
server web01 192.0.2.1:80 check observe layer4 weight 100
|
||||
server web02 192.0.2.2:80 check observe layer4 weight 100
|
||||
~~~
|
||||
|
||||
Si HAProxy doit faire la **terminaison SSL et maintenir une communication chiffrée** avec le backend, on doit le spécifier dans le backend (avec l'argument `ssl`, car le port 443 ne suffit pas à forcer le ssl).
|
||||
|
||||
~~~
|
||||
backend myback
|
||||
balance roundrobin
|
||||
server web01 192.0.2.1:443 ssl check observe layer4 weight 100
|
||||
server web02 192.0.2.2:443 ssl check observe layer4 weight 100
|
||||
~~~
|
||||
|
||||
### Exemple avec plusieurs backends et du « sticky session »
|
||||
|
||||
~~~
|
||||
|
|
Loading…
Reference in a new issue