Bonjour. Sorry but I don't understand french so I will try to interpret you question.
Am 17.08.2018 um 17:40 schrieb Jean-Baptiste Berthelin: > Bonjour, > > Depuis les dernières versions de Chrome, nous avons désormais un message de > sélection du certificat client en accédant à un frontend HAProxy, du fait > d'avoir un certificat en place dans mon navigateur associé à l'instruction de > bind : verify optional (ou required). > > Il semble possible de pouvoir définir des options spécifiques en fonction du > SNI > via le paramètre crl-file : > > D'après la documentation : > > This setting is only available when support for OpenSSL was built in. It > designates a list of PEM file with an optional ssl configuration and a SNI > filter per certificate, with the following format for each line : > > <crtfile> [\[<sslbindconf> ...\]] [[!]<snifilter> ...] > > sslbindconf support "npn > <https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#npn>", "alpn > <https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#alpn>", > "verify<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>", > "ca-file<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>", > "no-ca-names > <https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#no-ca-names>", > crl-file", "ecdhe > <https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#ecdhe>", > "curves > <https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#curves>", > "ciphers<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" > configuration. With BoringSSL > and Openssl >= 1.1.1 > "ssl-min-ver<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" > and > "ssl-max-ver<https://cbonte.github.io/haproxy-dconv/1.8/configuration.html#>" > are also supported. > It override the configuration set in bind line for the certificate. > > ~~~~~~~~~~~~~~~~~~~~~~~~~~~ > La configuration en place est la suivante : > > => frontend : > > bind 0.0.0.0:443 ssl crt-list /etc/haproxy/domain_crt_list > > => avec /etc/haproxy/domain_crt_list : > > /etc/haproxy/domain-com.pem [verify optional] my.domain.com can you try to add \ before [ & ] for example: /etc/haproxy/domain-com.pem \[verify optional\] my.domain.com > /etc/haproxy/domain2-com.pem *.domain.com > > ~~~~~~~~~~~~~~~~~~~~~~~~~~~ > > Le certificat présenté par le serveur est bien différent selon le SNI, mais > l'option "verify" ne semble pas interprétée. > > Cordialement > > -- > > *Jean-Baptiste Berthelin* Best regards Aleks
