【问题标题】:haproxy per backend ciphers/cipher suites每个后端密码/密码套件的 haproxy
【发布时间】:2021-03-15 23:21:14
【问题描述】:

我认为答案是否定的,但不明白为什么此功能不可用,我想为每个后端配置一个密码列表,即能够使用 ssl-default-server -每个后端部分中的密码,而不必在每个服务器行上使用密码。我不想在全局部分使用 ssl-default-server-ciphers,因为每个后端都可以有一组不同的密码。

我似乎无法在评论回复中添加格式化文本,因此我将通过在此处澄清问题来解决以下回复。后端确实可以选择指定密码,这是我的一个配置中的一个经过编辑的示例:

backend https_be
  server 10.255.2.5 10.255.2.5:443 ssl ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  server 10.255.2.6 10.255.2.6:443 ssl ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256

我希望能够做的,并且会更干净的是:

backend https_be
  option ssl-default-server-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  server 10.255.2.5 10.255.2.5:443 ssl  
  server 10.255.2.6 10.255.2.6:443 ssl

但是 haproxy 似乎不支持这一点,我不知道为什么,这样做并使配置文件更易于阅读是一个有用的想法。至于对前端参考的评论,我没有提到前端,所以对那个评论有点困惑。确实,同样的问题也适用于前端绑定,但我尽量保持简单,并通过后端示例说明这一点。

【问题讨论】:

    标签: proxy haproxy


    【解决方案1】:

    我想为每个后端配置一个密码列表

    后端没有密码选项。你的意思是bind 选项ciphers 吗?

    我不想在全局部分使用 ssl-default-server-ciphers,因为每个后端都可以有一组不同的密码。

    那么不要设置ssl-default-server-ciphers 并在服务器行上定义密码。
    后端的服务器具有ciphers 作为选项。请不要将关键字与您想做的事情混为一谈。

    前端和监听 => 有绑定选项
    后端没有绑定选项,因此没有ciphers 参数!

    这在文档的Proxies 部分进行了解释。

    【讨论】:

    • 好的。更新后的问题再好不过了。你是对的,选项ssl-default-server-ciphers 现在是一个全局选项。您可以在 GH github.com/haproxy/haproxy/issues 上提出增强请求 (RFE) 以将其添加为选项
    • “更新后的问题再好不过了”我想你的意思是“更新后的问题再清楚不过了”。无论如何,我不知道如何使它更明显。我将提交 RFE。
    猜你喜欢
    • 2012-09-03
    • 2016-08-21
    • 2016-05-26
    • 2020-01-07
    • 2019-02-18
    • 2021-05-02
    • 2013-04-02
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多