Tôi cần một số trợ giúp để định cấu hình kết nối ssl với chứng chỉ tự ký giữa Haproxy và Squid. Trong trường hợp của tôi - Haproxy (192.168.10.110) là giao diện người dùng và SQUID (192.168.10.149) là giao diện phụ trợ. Không có chứng chỉ tự ký, nó hoạt động hoàn hảo. Nhưng tôi cần thiết lập kết nối an toàn giữa giao diện người dùng và phụ trợ để ngăn chặn cuộc tấn công của Người đàn ông ở giữa.
Vì vậy, tôi đã tạo chứng chỉ tự ký trên phần phụ trợ (SQUID). Tôi tạo 4 tệp trên phần phụ trợ: mực1.pem, mực1.crt, mực1.key, mực1.csr. Sau đó, tôi sao chép mực1.pem vào giao diện người dùng, được chỉ định cho anh ta trong cấu hình Haproxy (trong phần phụ trợ). Nhưng nó không hoạt động ...
Tôi kiểm tra hoạt động của Haproxy bằng yêu cầu cuộn tròn trên Haproxy:
Xoăn https://ifconfig.io -v --proxy 192.168.10.110:4483
- Đang thử 192.168.10.110:1383...
- Đã kết nối với cổng 192.168.10.110 (192.168.10.110) 4483 (#0)
- phân bổ bộ đệm kết nối!
- Thiết lập đường hầm proxy HTTP thành ifconfig.io:443
*> KẾT NỐI ifconfig.io:443 HTTP/1.1
*> Máy chủ: ifconfig.io:443
*> Tác nhân người dùng: curl/7.77.0
*> Kết nối proxy: Keep-Alive
*>
- KẾT NỐI proxy bị hủy bỏ
- Giai đoạn KẾT NỐI đã hoàn tất!
- Đóng kết nối 0
curl: (56) Proxy CONNECT bị hủy bỏ
Tệp conf của haproxy:
toàn cầu
đăng nhập 127.0.0.1 cục bộ0
log 127.0.0.1 local1 thông báo
maxconn 4096
mặc định daemon
đăng nhập toàn cầu
tùy chọn donlognull
thử lại 3
gửi lại tùy chọn
maxconn 2000
máy khách hết thời gian 30 giây
máy chủ hết thời gian 30 giây
hết thời gian kết nối 30s
mặc định
giao diện người dùng Frontend4483
liên kết 192.168.10.110:4483
chế độ tcp
default_backend 4483
phụ trợ 4483
chế độ tcp
thăng bằng vòng tròn
tùy chọn tcplog
máy chủ B1S1 192.168.10.149:4128 ssl ca-file /etc/ssl/private/squid1.pem
Tệp conf SQUID:
acl localnet src 192.168.10.110/32
acl SSL_ports cổng 443
acl Safe_ports cổng 80 # http
acl Safe_ports cổng 443 # https
acl Cổng Safe_ports 1025-65535 # cổng chưa đăng ký
phương thức KẾT NỐI acl KẾT NỐI
http_access cho phép người quản lý máy chủ cục bộ
quản lý từ chối http_access
http_access cho phép localnet
http_access cho phép máy chủ cục bộ
http_access từ chối tất cả
http_port 192.168.10.149:4128
Trên phụ trợ tcpdump nói:
kG......HTTP/1.1 400 Yêu cầu sai
Máy chủ: mực/4.15
Mime-Phiên bản: 1.0
Ngày: Thứ ba, ngày 20 tháng 7 năm 2021 13:57:36 GMT
Loại nội dung: text/html;charset=utf-8
Độ dài nội dung: 3328
X-Squid-Error: ERR_PROTOCOL_UNKNOWN 0
Thay đổi: Ngôn ngữ chấp nhận
Nội dung-Ngôn ngữ: vi
X-Cache: BỎ LỠ từ máy chủ cục bộ
X-Cache-Tra cứu: KHÔNG có từ localhost:4128
Qua: 1.1 localhost (squid/4.15)
Kết nối: đóng
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><đầu>
Tôi có 2 câu hỏi:
Tôi làm gì sai, làm thế nào để sửa chữa nó?
Tôi có thể tạo chứng chỉ tự ký trên Haproxy và sao chép chúng trên mỗi phụ trợ (proxy SQUID) không?
