Haproxy：带有自签名证书的SSLencryption后端

我正在configurationHAProxy，以便终止SSL，因此只有一个地方可以configuration购买的SSL证书。 不过，我宁愿与后端服务器的连接也使用SSL进行encryption。

我发现的一个build议是在后端服务器上创build自签名证书，然后在每个服务器行上设置“verify none”。 …因此，从浏览器到HAProxy的连接将使用正式购买的SSL证书，但是HAProxy到后端服务器的连接将使用自签名证书。 自签证书的好处是免费，不需要更新和维护（我可以在将来设置到期，避免每年都要安装新版本）。 然而，可以理解的是，这会打开MITM攻击的后端，而且我读过的一些消息并不build议这样做。

我可以configurationHAProxy，以便我可以在后端服务器上使用自签名证书，但可能会将HAProxy服务器上的自签名证书列入白名单？ …所以HAProxy到后台连接将被encryption，它不会受到MITM攻击，HAProxy将知道信任来自后端服务器的自签名证书。

我所描述的是可能的吗？ 我是HAProxy SSLterminal新手，所以任何意见是赞赏。

• 是否有可能实时同步TCP代理的状态（SLB的实际高可用性）？
• nginx如何在与上游DNS名称关联的IP之间分配stream量？
• 同时pipe理多个Apache代理（mod_proxy_balancer）
• 没有负载平衡器的负载平衡？
• HAProxyurl模式转发

我的configuration的相关部分如下：

frontend www-in bind *:80 bind *:443 ssl crt /etc/ssl-keys/my-public-ssl-key.pem no-sslv3 mode http default_backend https-backend # force redirect to https redirect scheme https if !{ ssl_fc } backend https-backend balance leastconn server web1 1.1.1.1:443 check ssl verify none server web2 2.2.2.2:443 check ssl verify none http-request set-header X-Forwarded-Port %[dst_port] http-request add-header X-Forwarded-Proto https if { ssl_fc }