Option "verify" incompatible avec "crt-list"

Jean-Baptiste Berthelin Fri, 17 Aug 2018 08:40:44 -0700

Bonjour,

Depuis les dernières versions de Chrome, nous avons désormais un message
de sélection du certificat client en accédant à un frontend HAProxy, du
fait d'avoir un certificat en place dans mon navigateur associé à
l'instruction de bind : verify optional (ou required).


Il semble possible de pouvoir définir des options spécifiques en
fonction du SNI via le paramètre crl-file :

D'après la documentation :

This setting is only available when support for OpenSSL was built in. It
designates a list of PEM file with an optional ssl configuration and a SNI
filter per certificate, with the following format for each line :

      <crtfile> [\[<sslbindconf> ...\]] [[!]<snifilter> ...]

sslbindconf support "npn 
<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#npn>", "alpn 
<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#alpn>", 
"verify<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>", 
"ca-file<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>", 
"no-ca-names
<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#no-ca-names>",
crl-file", "ecdhe 
<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#ecdhe>", "curves
<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#curves>", 
"ciphers<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" 
configuration. With BoringSSL
and Openssl >= 1.1.1 
"ssl-min-ver<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" 
and 
"ssl-max-ver<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" 
are also supported.
It override the configuration set in bind line for the certificate.

~~~~~~~~~~~~~~~~~~~~~~~~~~~
La configuration en place est la suivante :

=> frontend :

bind 0.0.0.0:443 ssl crt-list /etc/haproxy/domain_crt_list

=> avec /etc/haproxy/domain_crt_list :

/etc/haproxy/domain-com.pem [verify optional] my.domain.com
/etc/haproxy/domain2-com.pem *.domain.com

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Le certificat présenté par le serveur est bien différent selon le SNI,
mais l'option "verify" ne semble pas interprétée.

Cordialement

-- 

*Jean-Baptiste Berthelin*

Option "verify" incompatible avec "crt-list"

Reply via email to