HAProxy 负载均衡器:无法识别对等方的证书颁发者

【问题标题】:HAProxy load balancer: Peer's Certificate issuer is not recognizedHAProxy 负载均衡器:无法识别对等方的证书颁发者
【发布时间】:2016-04-28 16:11:57
【问题描述】:

我刚刚用 HAProxy 1.5.2 设置了一个负载平衡器,HTTPS 前端工作不正常。

我使用 curl 向我的服务器发出如下请求: 卷曲https://haproxy.example.com 输出如下:

curl: (60) Peer's Certificate issuer 无法识别。
更多详情:http://curl.haxx.se/docs/sslcerts.html
curl 默认使用“捆绑包”执行 SSL 证书验证
证书颁发机构 (CA) 公钥(CA 证书)。如果默认
捆绑文件不足,您可以指定备用文件
使用 --cacert 选项。
如果此 HTTPS 服务器使用由中表示的 CA 签名的证书
捆绑包,证书验证可能由于 a
而失败 证书有问题(它可能已过期,或者名称可能
与 URL 中的域名不匹配)。
如果您想关闭 curl 对证书的验证,请使用
-k(或 --insecure)选项。

以下是配置:

前端 https-in 绑定 *:443 ssl crt /var/crt/mycrt.pem ca-file /var/crt/myca.crt
reqadd X-Forwarded-Proto:\ https
default_backend https-in-443

/var/crt/myca.crt 是 CA 捆绑文件。

有人可以帮助解决这个问题吗?非常感谢。

【问题讨论】:

    标签: ssl haproxy


    【解决方案1】:

    终于解决了这个问题

    刚刚在bind *:443 ssl crt /var/crt/mycrt.pem ca-file /var/crt/myca.txt的末尾添加了“验证可选”,如下所示

    参考:HAProxy: client side ssl certificates

    【讨论】:

    • 我正在尝试做类似的事情。你从哪里得到 myca.txt。我按照digitalocean.com/community/tutorials/…digitalocean.com/community/tutorials/… 的说明创建了自签名证书。我还尝试在绑定行的末尾添加verify optional,但是我仍然遇到无效的证书问题。顺便说一句,我的 haproxy 版本是 1.4.24。任何帮助将不胜感激
    • @user320550,实际上,当您从 CA 提供商颁发证书时,myca.txt 是 CA 捆绑文件。它包含根证书和中间证书
    猜你喜欢
    • 2018-05-20
    • 2019-05-20
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-12-15
    • 2018-01-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode