Table of Contents

Как правильно составить цепочку промежуточных сертификатов для haproxy

https://www.meshcloud.io/2017/04/18/pem-file-layout-for-haproxy/
До версий Haproxy v. 2.2 цепочку промежуточных сертификатов нужно было составлять вручную и прикреплять к файлу с сертификатом и ключем.
Причем важен порядок следования сертификатов в файле.
Правильный порядок такой:

Сертификат домена (The Certificate for your domain)
Промежуточный сертификат 1 (The intermediates in ascending order to the Root CA)
Промежуточный сертификат 2 (The intermediates in ascending order to the Root CA)
Корневой сертификат (A Root CA. Если надо. Обычно не нужно)
Приватный ключ (Private Key)

Составить pem-файл можно примерно так:

cat certificate.crt intermediates.pem private.key > ssl-certs.pem 

Такой вариант сработал на версии Haproxy v.1.5. И скорее всего на более поздних.

Новейшие версии haproxy

https://www.haproxy.com/blog/announcing-haproxy-2-2/
https://www.haproxy.org/download/2.2/doc/configuration.txt
В версии Haproxy v. 2.2 (вышла летом 2020) промежуточные сертификаты могут автоматически обнаружитваться в указанной директории и включаться в цепочку с помощью директивы issuers-chain-path