Versions Compared

Old Version 23

changes.mady.by.user jtel Support

Saved on

compared with

New Version 24

changes.mady.by.user jtel Support

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Sv translation
languagede

Die Zertifikate befinden sich in:

Translations Ignore


Code Block
/etc/haproxy/haproxy.pem


Die Korrekten Berechtigungen sind 400. (Nur read für root) und können so gesetzt werden:
Translations Ignore


Code Block
chmod 400 haproxy.pem



Die Datei enthält Sections:

Info

Hinweis

Zertifikatskette:

  • end_entity_cetificate.crt

  • intermediate_certificate.crt

  • root_certificate.crt

Private Key

  • private_key.key

Das end-entity - Zertifikat und der dazugehörige private Schlüssel sind erforderlich. 

haproxy.pem

  • end_entity_cetificate.crt
  • intermediate_certificate.crt
  • root_certificate.crt
  • private_key.key

Befehl zur Erzeugung der Datei haproxy.pem
Generieren der Datei haproxy.pem

$ cat end-entity.crt intermediate_certificate.crt root_certificate.crt private-key.key > haproxy.pem

  • Stellen Sie sicher, dass der private Schlüssel nicht beschädigt ist.

$ openssl rsa -check -noout -in private_key.key

Wenn die Ausgabe "RSA key ok" erscheint, ist der private Schlüssel korrekt.

  • Stellen Sie sicher, dass das end-entity - Zertifikat und der private Schlüssel übereinstimmen.

Berechnen Sie den Modulus des privaten Schlüssels

$ openssl rsa -modulus -noout -in private_key.key | openssl md5

Berechnen Sie den Modulus des Server-Zertifikats

$ openssl x509 -modulus -noout -in end_entity_cetificate.crt| openssl md5

Wenn die Ausgabe beider Vorgänge identisch ist, stimmt der private Schlüssel mit dem end-entity - Zertifikat überein.

  • Das end entitiy-entity Zertifikat muss an erster Stelle stehen und der passende private Schlüssel an letzter Stelle
  • Das/die intermediate(s) und das root Zertifikat sind optional. Falls sie enthalten sind, müssen die intermediate(s) Zertifikate vor dem Stammzertifikat angegeben werden.
  • Stellen Sie sicher, dass die Zeilenenden (EOL) in der Datei Linux EOL (LF) sind. Windows EOL (CR LF) oder Macintosh EOL (CR) werden fehlerhaft sein, da der Load Balancer eine Linux Distribution ist.


Translations Ignore


Code Block
-----BEGIN CERTIFICATE-----
MIIEzjCCA7agAwIBAgISESGiWLxseXetsJGbfZKEfehiMA0GCSqGSIb3DQEBCwUA
MEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSIwIAYD
...
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAsDGatsqSubHWmDG2IOVbocgwJfX9dB3EtXFw6HN87zDvAvvE
9KUsDqMQiU2+aORZapzhl0oL1cfznPpQYyo4WGprQiNyL82TTxeWhCNRnBv4tnJw
...

-----END RSA PRIVATE KEY-----




Das Mindeste ist, dass der Zertifikat für den Load-Balancer sowie Private Key davon enthalten sind. Die Datei wird in haproxy.cfg referenziert:

Translations Ignore


Code Block
frontend acdportal_https
 mode http
 bind :443 ssl crt /etc/haproxy/haproxy.pem #verify optional




Falls ein Intermediate-Zertifikat eingefügt werden muss (Beispiel Sales-Force falls der Zertifizierungschain nicht bei SalesForce bekannt ist), kann dies wie folgt geschehen:

  • Rechter Mausklick auf die Zertifizierung im Browser:

  • Details des Zertifikats anzeigen lassen:

  • View Certificate

  • Intermediate Zertifikat anzeigen lassen:

  • Als Datei speichern:

  • In Base-64 format:

#

  • Auf den lokalen Rechner speichern:

Die Datei dann mit einem Text-Editor editieren, dann den Inhalt des Intermediate-Zertifikats in die Datei haproxy.pem ganz unten hineinkopieren.

Dann:

Translations Ignore


Code Block
service haproxy reload



...