Как правильно составить цепочку промежуточных сертификатов для haproxy
https://www.meshcloud.io/2017/04/18/pem-file-layout-for-haproxy/
До версий Haproxy v. 2.2 цепочку промежуточных сертификатов нужно было составлять вручную и прикреплять к файлу с сертификатом и ключем.
Причем важен порядок следования сертификатов в файле.
Правильный порядок такой:
Сертификат домена (The Certificate for your domain) |
Промежуточный сертификат 1 (The intermediates in ascending order to the Root CA) |
Промежуточный сертификат 2 (The intermediates in ascending order to the Root CA) |
… |
Корневой сертификат (A Root CA. Если надо. Обычно не нужно) |
Приватный ключ (Private Key) |
Составить pem-файл можно примерно так:
cat certificate.crt intermediates.pem private.key > ssl-certs.pem
Такой вариант сработал на версии Haproxy v.1.5. И скорее всего на более поздних.
Новейшие версии haproxy
https://www.haproxy.com/blog/announcing-haproxy-2-2/
https://www.haproxy.org/download/2.2/doc/configuration.txt
В версии Haproxy v. 2.2 (вышла летом 2020) промежуточные сертификаты могут автоматически обнаружитваться в указанной директории и включаться в цепочку с помощью директивы issuers-chain-path
Discussion