pound (load balancer) i certyfikat pośredni

Wynalazek z jakim się zetknąłem zajął mi kilka ładnych godzin czasu. Load balancer w wykonaniu „pound”. Ani to ładne, ani elastyczne.

Problem dotyczył umieszczenia certyfikatu pośredniego (intermediate cert) tak, aby był pchany do przeglądarek. Delikatne zerknięcie do dokumentacji, nic prostszego: CAList. Problem w tym, że Debianowa paczka w wersji 2.6-2 pomimo podania poprawnego CA wystawcy ni diabła nie chciała posłusznie serwować certyfikatu pośredniego. Jak więc to zrobić? Po wielu próbach, z podejściem do migracji na HAProxy włącznie, zerknąłem do źródeł pound’a i tego co tam Debianowi ludzie poprawili.

Należało zrezygnować z CAList (usunięte/zakomentowane) i plik z certyfikatem przygotować w postaci:

-----BEGIN DOMAIN CERTIFICATE-----
-----END DOMAIN CERTIFICATE-----
-----BEGIN INTERMEDIATE CERTIFICATE-----
-----END INTERMEDIATE CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

O możliwości wyłączenia SSLv3 nie wspomnę, bo w obecnie dostarczanej wersji w Debianie taka możliwość w ogóle nie istnieje.

1 thought on “pound (load balancer) i certyfikat pośredni

  1. Dokładnie tak samo należy przygotować certyfikat, jeżeli chcesz go uruchomić z HAProxy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.