在Haproxy中配置多个SSL证书

我的haproxy实例有2个域（主要是为了避免在主站点上使用XSS）。

规则看起来像这样

bind :443 ssl crt /etc/ssl/haproxy.pem

acl is_static   hdr_end(Host) -i example.com
acl is_api      hdr_end(Host) -i api.example.com
acl is_files    hdr_end(Host) -i example.io

redirect scheme https if !{ ssl_fc } is_static is_api

现在SSL /etc/ssl/haproxy.pem用作默认证书，example.com而不是example.io。

如何为多个域名指定证书？

您可以将所有证书串联到文件say中haproxy1.pem，haproxy2.pem或者可以指定包含所有pem文件的目录。

cat cert1.pem key1.pem > haproxy1.pem 
cat cert2.pem key2.pem > haproxy2.pem

根据haproxy文档

然后在配置上使用类似这样的东西：

defaults
  log 127.0.0.1 local0
  option tcplog

frontend ft_test
  mode http
  bind 0.0.0.0:443 ssl crt /certs/haproxy1.pem crt /certs/haproxy2.pem 
  use_backend bk_cert1 if { ssl_fc_sni my.example.com } # content switching based on SNI
  use_backend bk_cert2 if { ssl_fc_sni my.example.org } # content switching based on SNI

backend bk_cert1
  mode http
  server srv1 <ip-address2>:80

backend bk_cert2
  mode http
  server srv2 <ip-address3>:80

了解有关SNI的更多信息

请记住，在对haproxy的开发阶段中正在支持SSL，并且显然它对性能的影响很大。

此线程中还讨论了其他解决方案：https : //stackoverflow.com/questions/10684484/haproxy-with-multiple-https-sites

希望这可以帮助。

不再需要合并或指定证书列表，只需指定一个文件夹：

frontend public
    bind *:443 ssl crt /etc/haproxy/ssl/

注意：确保文件夹不为空并且存在有效的PEM文件，否则HAProxy将不会运行。

也许您也可以检查一下：

/etc/ssl/private/crt-list.txt：

/etc/ssl/private/mydomain.pem
/etc/ssl/private/myotherdomain.pem

haproxy.cfg：

frontend https-in:
  bind *:443 ssl crt-list /etc/ssl/private/crt-list.txt

裁判：https : //github.com/msimerson/Mail-Toaster-6/wiki/How-to-for-Multiple-Domain-SSL-Certificates-with-HaProxy