我有一个networking应用程序,为每个客户提供一个子域名。 目前,所有客户子域名(例如user1.example.com,user2.example.com)和根域名(即www.example.com,example.com)都使用单个通配符证书进行保护。
现在我想为根域使用扩展validation证书,并继续使用子域的通配符证书。
是否可以configurationHAProxy服务基于该条件的不同的证书? 是否有可能只有一个后端,只使用不同的证书?
这个问题不同于这个问题,因为在我的情况下,两个证书对于根域是有效的,所以HAProxy不能自动计算出哪个证书应该使用。 我需要一种方法来根据请求的域(SNI)明确地设置应该使用哪个证书。 事实上,我想要使用EV证书(而不是通配符)的根域。
那么其实你很幸运。 如果您将haproxyconfiguration为使用两个证书,可以将它们放在同一个目录中并列出,或者将两个证书明确列出,HAProxy将为您做正确的事情。 我已经在 haproxy的邮件列表上发布了这个消息。 有关crt指令的相关位是:
这个指令可以多次指定,以从多个文件或目录加载证书。 多次指定时,将按configuration中指定的顺序查找证书 , 通配符证书除外 ,它们将始终最后查找。
作为替代,你可以看看crt-list 。