HAPROXY + ACME не работает правило haproxy
-
Добрый день. Пытаюсь сделать генерацию сертификатов на pfsense. Сейчас настроен webroot ftp, работает, но не удобно... Решил переделать схему на standalone. Создал в haproxy frontend: Path starts with /.well-known/acme-challenge/ backend: 127.0.0.1:8888, а acme настроил standalone на 8888. И в итоге при обращении на site.com/.well-known/acme-challenge/ попадаю не на ответ от haproxy, а от сайт с 404 ошибкой. Решил попробовать на чистом haproxy и acme, там все работает. Подскажите где может быть ошибка или как вставить custom acl?
Конфиг чистого haproxy+acme:
acl acl2 path_beg /.well-known/acme-challenge/ use_backend ACME if acl2 backend ACME mode http server certbot 127.0.0.1:8888
конфиг с pfsense:
frontend HTTP-merged bind ip:80 name ip:80 mode http log global option http-keep-alive option forwardfor acl https ssl_fc http-request set-header X-Forwarded-Proto http if !https http-request set-header X-Forwarded-Proto https if https timeout client 30000 acl acl-acme var(txn.txnpath) -m beg -i /.well-known/acme-challenge/ http-request set-var(txn.txnhost) hdr(host) http-request set-var(txn.txnpath) path use_backend ACME_backend_ipvANY if acl-acme backend ACME_backend_ipvANY mode http id 117 log global timeout connect 30000 timeout server 30000 retries 3 server acme 127.0.0.1:8888 id 126
-
Добрый
@atelВерсии пф и пакетов САМЫЕ свежие?
-
@werter Да, все обновлено до последних версий. Вообще кто-то смог реализовать такой механизм? Находил темы, где люди переводили весь трафик в https, а этот запрос направляли на локальный backend. Но мне немного не подходит.
-
Где-то в сети попадался вариант с генерацией сертификатов на пф и автозаливкой на сервисы ЗА пф. Если это то, что надо Вам, конечно.
-
@werter Да примерно так и надо. Не помните где видели?
-
Добрый
@atelСсылку не дам (не помню),но точно есть в этом архивеНет там именно по Вашему вопросу, но вдруг что-то пригодится https://cloud.mail.ru/public/wUdg/zUsdjQFNGЗы. acme-dns - a simplified DNS server with a RESTful HTTP API to provide a simple way to automate ACME DNS challenges https://github.com/joohoi/acme-dns
step-ca - run your own private CA certificate authority & ACME server https://smallstep.com/blog/private-acme-server
haproxy-wi - web interface gui for managing Haproxy, Nginx and Keepalived servers
https://github.com/Aidaho12/haproxy-wi
https://forum.level1techs.com/t/haproxy-wi-run-lots-of-public-services-on-your-home-server/159335
https://www.youtube.com/watch?v=Kh21q7LY-F8 -
Нашел )
https://medium.com/@victorlclopes/copy-pfsense-acme-certificate-to-another-server-e42c611c47ec
И тут какой-то фикс (?) со слов 'Fixing my Certificate setup'
https://blog.barclayhowe.com/switching-my-unifi-controller-to-ubuntu-and-hdmi-problems/Зы. Сохранил и залил в облако https://cloud.mail.ru/public/W3R4/fC8hQQLSX