Issue HAProxy e Certificato Intermedio SSL

Stiamo verificando un problema verificando un certificato SSL Comodo su un cluster Ubuntu AWS. I browser visualizzano bene il sito / contenuto e mostrano tutte le informazioni relative al certificato (alless tutte quelle che abbiamo verificato), ma determinate proxy di networking e le dime SSL online stanno mostrando che abbiamo una catena incompleta.

Abbiamo provato quanto segue per cercare di risolvere questo problema:

  1. Aggiornato haproxy all'ultimo 1.5.3
  2. Creato un file ".pem" concatenato che contiene tutto il certificato (sito, intermedio, w / and w / out root)
  3. Aggiunto un esplicito "ca-file" attributo alla linea "bind" nel nostro file haproxy.cfg.

Il file ".pem" verifica OK utilizzando openssl. I vari certificati intermedi e root vengono installati e mostrati in / etc / ssl / certs. Ma i controlli tornano ancora con una catena incompleta.

Qualcuno può consigliare qualsiasi altra cosa che possiamo controllare o qualsiasi altra modifica che possiamo fare per cercare di risolvere questo problema?

Molte grazie in anticipo…

AGGIORNAMENTO : l'unica row pertinente di haproxy.cfg (credo), è questa:

bind *:443 ssl crt /etc/ssl/domainaname.com.pem 

UPDATE 2 : Uscita da openssl s_client

 CONNECTED(00000003) depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com verify error:num=27:certificate not trusted verify return:1 depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/OU=Domain Control Validated/OU=COMODO SSL/CN=www.domainname.com i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO SSL CA 

Di seguito sono riportti i contenuti di www.domainname.com.pem (che sono indicati nella config haproxy).

 Bag Attributes localKeyID: 01 00 00 00 friendlyName: www.domainname.com subject=/OU=Domain Control Validated/OU=COMODO SSL/CN=www.domainname.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO SSL CA -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- -----BEGIN INTERMEDIATE CERTIFICATE----- [...] -----END INTERMEDIATE CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- [...] -----END RSA PRIVATE KEY----- 

2 Solutions collect form web for “Issue HAProxy e Certificato Intermedio SSL”

Ordine corretto per includere i certificati intermedi:

-----BEGIN PRIVATE KEY----- [Your private key] -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- [Your certificate] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [Intermidate#1 certificate] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [Intermidate#2 certificate] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [Root certificate] -----END CERTIFICATE-----

awk 1 ORS='\\n' ~/your_path/cert.pem

string di copia

e incollare a docker-compose.yml come quello:

proxy: image: tutum/haproxy ports: - "80:80" - "443:443" environment: - "DEFAULT_SSL_CERT=-----BEGIN PRIVATE KEY-----\nMIIEvQIBADA......" links: - webapp

E 'un lavoro per me.

FWIW, sono riuscito ad arrivare al fondo di questo. Il problema era i delimitatori che avevo usato per i vari certificati nel mio file .pem .

Il delimitatore deve essere esattamente -----BEGIN/END CERTIFICATE----- – nessun "INTERMEDIATO" o "ROOT" o uno qualsiasi di quello.

Inoltre, il lavoro .pem per HAProxy include tutti i certificati intermedi e root nella mia catena – sembrava essere l'unico modo per farli prendere a tutti.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.