pound (load balancer) i certyfikat pośredni

by Wojciech Błaszkowski

Wynalazek z jakim się zetknąłem zajął mi kilka ładnych godzin czasu. Load balancer w wykonaniu „pound”. Ani to ładne, ani elastyczne.

Problem dotyczył umieszczenia certyfikatu pośredniego (intermediate cert) tak, aby był pchany do przeglądarek. Delikatne zerknięcie do dokumentacji, nic prostszego: CAList. Problem w tym, że Debianowa paczka w wersji 2.6-2 pomimo podania poprawnego CA wystawcy ni diabła nie chciała posłusznie serwować certyfikatu pośredniego. Jak więc to zrobić? Po wielu próbach, z podejściem do migracji na HAProxy włącznie, zerknąłem do źródeł pound’a i tego co tam Debianowi ludzie poprawili.

Należało zrezygnować z CAList (usunięte/zakomentowane) i plik z certyfikatem przygotować w postaci:

-----BEGIN DOMAIN CERTIFICATE-----
-----END DOMAIN CERTIFICATE-----
-----BEGIN INTERMEDIATE CERTIFICATE-----
-----END INTERMEDIATE CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

O możliwości wyłączenia SSLv3 nie wspomnę, bo w obecnie dostarczanej wersji w Debianie taka możliwość w ogóle nie istnieje.

One comment

  1. Dokładnie tak samo należy przygotować certyfikat, jeżeli chcesz go uruchomić z HAProxy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.