Acme haproxy http to https
-
Добрый день!
Хочу опубликовать http сайты в https через HAProxy+ACME
В настоящее время работает следующая конфигурация
Хочу сделать следующее
Подскажите пожалуйста, возможно ли это сделать и как?
Спасибо!
-
Добрый.
SSL-редирект на веб-серверах настраивается же ? Это сделано ? -
Сейчас столкнулся с той ж задачей, нужно вывести сайт по https с-за pfSense, разобрался быстро и легко, но похоже на 2.4.0 acme.sh или HAProxy acme-htttp01-webroot.lua сломан. Может пожалуйста кто подтвердить это или опровергнуть?
Расписал суть проблеммы и мои настройки в топике https://forum.pfsense.org/index.php?topic=138366.0.
Я явно настроил все правильно, но на pfSensne 2.4.0 и на 2.3.4p1 с пакетами: haproxy (0.52_14) 1.7.9 и acme 0.1.20 ничего так и не заработало. Если у кого то есть под рукой 2.3.4\2.4.0 можете попробовать настроить как у меня и отписать получилось или нет, но я уже в 2 разных местах, на 2вух разных pfSense настроил и 0 на манну 2 на трассу… все время ловлю 404 от lua скрипта.
P.S. что бы установить пакет на 2.3.4 и раньше сейчас когда уже есть новая major ветка в настройках /system_update_settings.php нужно выбрать Branch: Security/Errata only 2.3.X -
А не пробовали использовать втроенный nginx и стандартный certbot?
-
я не хочу добивать в pfSense того чего в нет нет по стандарту. То что я наконфижу в nginx pfSense - может слететь после любого апдейта + у pfSense версия nginx кастрированная насколько я помню - много чего так отключено при билде. Плюс при восстановлении с config.xml не будет восстановлено то что ты там руками нахардкодишь - мне такое решение не нужно. У меня в таком случае есть проще решение - поднять отдельную ВМ для реверс прокси на норм nginx на centOS\debian. Я нашел баг в ACME реализации под pfSense - описал его на англоязычном разделе форума: https://forum.pfsense.org/index.php?topic=138617.msg757777#msg757777
-
Добрый.
SSL-редирект на веб-серверах настраивается же ? Это сделано ?Как вариант между HAProxy и веб серверами будет HTTP
На ружу HTTPS
-
Зачем писать в такой мервый пост?Он датирован June 21, 2017. Я уверен автор или решил проблему или забил на нее.
Как вариант между HAProxy и веб серверами будет HTTP
На ружу HTTPS
И все же вы написали спорный ответ, я бы ответил так:
Если в сети в которой находятся сервера за pfSense кроме серверов есть другие компьютеры или устройсва, или если просто уровень безопасности должен быть высоким то можно настроить HTTPS между HAProxy и серверами BackEnd'a.
Если же сеть под серверы выделена отдельная или они находятся в DMZ то вполне сопокойно можно делать обычный HTTP.Что бы сделать HTTPS между HAProxy и серверами BackEnd'a можно создать в том же pfSense самоподписный Certificate Authority, от его имени нагенерировать нужных сервер сертификатов для каждого вебсайта BackEnd'a, передать их на эти вебсервера, добавить CA на BackEnd'e в довереные, а в HAProxy в BackEnd настроить проверку сервер сертификата по этому CA. Готово.