Acme haproxy http to https



  • Добрый день!

    Хочу опубликовать http сайты в https через HAProxy+ACME

    В настоящее время работает следующая конфигурация

    Хочу сделать следующее

    Подскажите пожалуйста, возможно ли это сделать и как?

    Спасибо!





  • Добрый.
    SSL-редирект на веб-серверах настраивается же ? Это сделано ?



  • Сейчас столкнулся с той ж задачей, нужно вывести сайт по https с-за pfSense, разобрался быстро и легко, но похоже на 2.4.0 acme.sh или HAProxy acme-htttp01-webroot.lua сломан. Может пожалуйста кто подтвердить это или опровергнуть?
    Расписал суть проблеммы и мои настройки в топике https://forum.pfsense.org/index.php?topic=138366.0.
    Я явно настроил все правильно, но на pfSensne 2.4.0 и на 2.3.4p1 с пакетами: haproxy (0.52_14) 1.7.9 и acme 0.1.20 ничего так и не заработало. Если у кого то есть под рукой 2.3.4\2.4.0 можете попробовать настроить как у меня и отписать получилось или нет, но я уже в 2 разных местах, на 2вух разных pfSense настроил и 0 на манну 2 на трассу… все время ловлю 404 от lua скрипта.
    P.S. что бы установить пакет на 2.3.4 и раньше сейчас когда уже есть новая major ветка в настройках /system_update_settings.php нужно выбрать Branch: Security/Errata only 2.3.X



  • А не пробовали использовать втроенный nginx и стандартный certbot?



  • я не хочу добивать в pfSense того чего в нет нет по стандарту. То что я наконфижу в nginx pfSense - может слететь после любого апдейта + у pfSense версия nginx кастрированная насколько я помню - много чего так отключено при билде. Плюс при восстановлении с config.xml не будет восстановлено то что ты там руками нахардкодишь - мне такое решение не нужно. У меня в таком случае есть проще решение - поднять отдельную ВМ для реверс прокси на норм nginx на centOS\debian. Я нашел баг в ACME реализации под pfSense - описал его на англоязычном разделе форума: https://forum.pfsense.org/index.php?topic=138617.msg757777#msg757777



  • @werter:

    Добрый.
    SSL-редирект на веб-серверах настраивается же ? Это сделано ?

    Как вариант между HAProxy и веб серверами будет HTTP

    На ружу HTTPS



  • Зачем писать в такой мервый пост?Он датирован June 21, 2017. Я уверен автор или решил проблему или забил на нее.

    Как вариант между HAProxy и веб серверами будет HTTP

    На ружу HTTPS

    И все же вы написали спорный ответ, я бы ответил так:
    Если в сети в которой находятся сервера за pfSense кроме серверов есть другие компьютеры или устройсва, или если просто уровень безопасности должен быть высоким то можно настроить HTTPS между HAProxy и серверами BackEnd'a.
    Если же сеть под серверы выделена отдельная или они находятся в DMZ то вполне сопокойно можно делать обычный HTTP.

    Что бы сделать HTTPS между HAProxy и серверами BackEnd'a можно создать в том же pfSense самоподписный Certificate Authority, от его имени нагенерировать нужных сервер сертификатов для каждого вебсайта BackEnd'a, передать их на эти вебсервера, добавить CA на BackEnd'e в довереные, а в HAProxy в BackEnd настроить проверку сервер сертификата по этому CA. Готово.