Xác thực cơ bản và dữ liệu từ cuộn tròn đến phụ trợ HAProxy không hoạt động trên Chấm dứt TLS - nhưng hoạt động trên chuyển tiếp TLS

nghe pki
    liên kết *:8884 ssl no-sslv3 crt ​​/HAPROXY.pem.ecdsa xác minh tệp ca cần thiết /CA_CHAIN.pem
    chế độ http
    tiêu đề bổ sung yêu cầu http Loại nội dung "application/pkcs10"
    tiêu đề bổ sung yêu cầu http Mã hóa chuyển nội dung "base64"
    Tiêu đề bổ sung yêu cầu http Ủy quyền "Chuỗi mã hóa somebase64 cơ bản"
    default_backend pkis_1
    
phụ trợ pkis_1
    chế độ http
    tiêu đề bổ sung yêu cầu http Loại nội dung "application/pkcs10"
    tiêu đề bổ sung yêu cầu http Mã hóa chuyển nội dung "base64"
    Tiêu đề bổ sung yêu cầu http Ủy quyền "Chuỗi mã hóa somebase64 cơ bản"
    máy chủ pkis my.domain.com:443 ssl không xác minh

Sử dụng cấu hình trên, chúng tôi có thể gọi phần phụ trợ thành công từ cuộn tròn trên một điểm cuối nhất định, sử dụng cùng một chứng chỉ, nhưng chúng tôi bị chặn trên một điểm cuối khác của cùng một máy chủ yêu cầu xác thực cơ bản.

Cuộc gọi curl là:

curl --cacert '$INITIAL_CACERT' --key '$INITIAL_DEVICE_KEY' --cert '$INITIAL_DEVICE_CERT' --user '$USER':'$PWD' --data @'$1'/'$KEY_NAME'-key.b64 -o '$1'/'$KEY_NAME'-cert-p7.b64 -H "Content-Type: application/pkcs10" -H "Content-Transfer-Encoding: base64" https://'$PKI_SERVER':'$PORT '/.well-known/est/'$2'/simpleenroll

Có cách nào để chuyển tiếp mọi thứ từ lệnh curl này sang chương trình phụ trợ không?

Điều kỳ lạ là, khi chúng tôi xóa tất cả ssl auth và chuyển sang chế độ tcp dưới dạng proxy trong suốt, thì auth cơ bản sẽ hoạt động!

https://serversforhackers.com/c/using-ssl-certificates-with-haproxy

Như bài trên viết:

Tuy nhiên, bạn sẽ mất khả năng thêm hoặc chỉnh sửa các tiêu đề HTTP vì kết nối chỉ được định tuyến thông qua bộ cân bằng tải tới các máy chủ được ủy quyền.

Điều này có nghĩa là các máy chủ ứng dụng của bạn sẽ mất khả năng nhận các tiêu đề X-Forwarded-*, có thể bao gồm địa chỉ IP, cổng và lược đồ của máy khách được sử dụng.

Vì vậy, tôi nhận ra rằng không thể truyền bá các tiêu đề cần thiết khi kết thúc TLS và đó là lý do tại sao các yêu cầu hoạt động khi chúng tôi chơi với chế độ truyền qua TLS!

Tôi không thể hiểu đầy đủ về cấu hình HAProxy của bạn nhưng có vẻ như bạn đang mã hóa tiêu đề cứng cho chương trình phụ trợ của mình. Thay vào đó, tôi sẽ thêm các tiêu đề HTTP từ curl. Đừng quên loại nội dung, thông tin xác thực cơ bản có nghĩa là được chuyển từ ứng dụng khách vì không phải tất cả các yêu cầu đều có cùng loại nội dung hoặc xác thực cơ bản. Kiểm tra câu trả lời từ đây về cách chuyển thông tin xác thực cơ bản trong curl.