Author Topic: HA-Proxy liefert falsches Zertifkat aus (Read 2907 times)

mweis · « **on:** July 29, 2019, 04:03:04 pm »

Hallo,

ich wollte eine zweite Domain zum HA-Proxy hinzufügen. Er sagt mir auch, dass meine Syntax keinen Fehler enthält, allerdings liefert er beim Aufruf von Domain B das Zertifkat von Domain A aus. Beide haben natürlich die gleichen IPs, da ich die Zertifikate über dyndns / letsencrypt cloudflare api erstellt habe.

Ich dachte ich füge unter "Public Serices" den neuen Server hinzu und die Sache läuft. Was mich irritiert in den Logs vom HA-Proxy sehe ich auch dass obwohl ich Domain B aufrufe, der HA-Proxy glaubt ich rufe Domain A auf.

An welcher Stelle kann ich das Problem fixen?

Danke

fabian · « **Reply #1 on:** July 29, 2019, 05:18:46 pm »

Sieht nach einem Fehler im Frontend bei der TLS-Konfiguration aus. Würde da aber eher auf eine Antwort von Frank warten, da ich kein Experte für HAProxy bin.

superwinni2 · « **Reply #2 on:** July 29, 2019, 09:57:37 pm »

Hallo mweis

hast du die Zertifikate im Frontend (Public Services) auch zugeordnet?
Das Let's Encrypt Plugin erstellt nur das Zertifikat. Damit dieses auch vom HAProxy benutzt wird, muss man dieses unter SSL Offloading hinzufügen.

mweis · « **Reply #3 on:** July 30, 2019, 08:30:29 am »

Guten Morgen,

ja habe ich eigentlich siehe Screenshots.

superwinni2 · « **Reply #4 on:** July 30, 2019, 08:41:48 am »

Ahhhh

Allgemeiner Denkfehler... Der passiert leider relativ oft....
Du darf pro IP/Port nur ein Frontend anlegen....

Hier hatte ein anderer Benutzer das gleiche Problem...
https://forum.opnsense.org/index.php?topic=12725.msg58882#msg58882

Vielleicht hilft es dir weiter

Falls nicht nochmals melden... Habe nur keine Lust es doppelt zu schreiben

Kurzform:
Du darfst nur ein Frontend anlegen mit der Listen Addresses 0.0.0.0:856 und dann musst du mit Hilfe von Bedingungen und Regeln unterscheiden welches Backend benutzt werden soll

Sonst greift immer nur das "erste" Frontend was in der Config steht

Wenn es dir nicht weiterhilft, dann können wir es auch gerne zusammen "aufschlüsseln"

Grüße

mweis · « **Reply #5 on:** July 30, 2019, 09:02:39 am »

okay danke, mir erschließt sich aber nicht, in welchem Punkt in dann den backends die entsprechenden Zertifikate zuweise?

EDIT: geht

superwinni2 · « **Reply #6 on:** July 30, 2019, 09:10:04 am »

Da ich eben deinen Edit sehe das es klappt ist ja schonmals alles gut

Nur um den Thread sauber abzuschließen:
Zertifikate weißt man dem Frontend, nicht dem Backend zu

es geht ja darum, dass der Client verschlüsselt mit dem HAProxy spricht.
Wie der HAProxy zu dem eigentlichen Server spricht, stellt man unter den "Real Servers" ein.

Author Topic: HA-Proxy liefert falsches Zertifkat aus (Read 2907 times)

mweis

HA-Proxy liefert falsches Zertifkat aus

fabian

Re: HA-Proxy liefert falsches Zertifkat aus

superwinni2

Re: HA-Proxy liefert falsches Zertifkat aus

mweis

Re: HA-Proxy liefert falsches Zertifkat aus

superwinni2

Re: HA-Proxy liefert falsches Zertifkat aus

mweis

Re: HA-Proxy liefert falsches Zertifkat aus

superwinni2

Re: HA-Proxy liefert falsches Zertifkat aus