Après avoir fait une jolie installation de HaProxy, voir Installation HaProxy (nb qui fonctionne aussi très bien pour la version 2.9), je vais vous présenter dans cet article deux façons de faire pour la mise en place de la gestion des certificats TLS pour les différents sites qui passent par HaProxy.
Je pars du principe ou je fais que du certificat ssl Let's Encrypt.
Jusqu'à la version 2.8
Voici comment je précédais jusqu'à la version 2.8 de HaProxy :
Création du certificats SSL avec les commandes letsencrypt
letsencrypt certonly --standalone -d url --non-interactive --agree-tos --email email --http-01-port=666
Avec cette configuration de haproxy :
global
...
# modern configuration
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-bind-options prefer-client-ciphers no-sslv3 no-tlsv10 no-tlsv11 no-tlsv12 no-tls-tickets
ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-server-options no-sslv3 no-tlsv10 no-tlsv11 no-tlsv12 no-tls-tickets
#tune DH to 4096
tune.ssl.default-dh-param 4096
ssl-dh-param-file /etc/haproxy/dhparams/dhparams.pem
...
frontend sites
bind IP:80 alpn h2,h2c,http/1.1
bind IP:443 ssl crt /etc/haproxy/ssl alpn h2,h2c,http/1.1
# Access log
log 127.0.0.1 local6
option httplog
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
http-request redirect scheme https unless { ssl_fc }
# forward header
option forwardfor
# HSTS (63072000 seconds)
http-response set-header Strict-Transport-Security max-age=63072000
...
# Backend Let's Encrypt
backend let-backend
server letsencrypt 127.0.0.1:666 # The Number of The Beast ...
C'était fonctionnel mais ... il fallait que je synchronise les certificats ssl dans le répertoire de haproxy sous forme d'un seul fichier par site :
for i in $(ls /etc/letsencrypt/live/|grep -v README) ; do cat /etc/letsencrypt/live/$i/fullchain.pem /etc/letsencrypt/live/$i/privkey.pem > /etc/haproxy/ssl/$i.pem; done
Et il fallait redémarrer HaProxy lors des changements de certificats, pas bien méchant mais cela peut occasionner une petite coupure de service.
A partir de la 2.8
Depuis la version 2.8 il est possible d'intégrer la gestion des certificats TLS avec acme.sh et donc dès que le certificat est mis à jour il n'est plus nécessaire de redémarrer HaProxy pour que la mise à jour du certificat soit prise en compte.
Voici comment procéder sous Debian 12
Mise en place de acme.sh
Création d'un utilisateur sans password et login dans le groupe HaProxy
adduser --system --disabled-password --disabled-login --home /var/lib/acme --quiet --force-badname --group acme
adduser acme haproxy
On va déployer dans un répertoire le projet :
mkdir /usr/local/share/acme.sh/
cd /tmp
git clone https://github.com/acmesh-official/acme.sh.git
cd acme.sh
./acme.sh --install --no-cron --no-profile --home /usr/local/share/acme.sh
ln -s /usr/local/share/acme.sh/acme.sh /usr/local/bin/
chmod 755 /usr/local/share/acme.sh/
Clé d'authentification Let's Encrypt
Pour que acme.sh puisse gérer le challenge Let's Encrypt à travers HaProxy, il va falloir mettre en place le hash d'une clé d'un compte Let's Encrypt.
sudo -u acme -s
acme.sh --register-account --server letsencrypt -m youremail@example.com
Il est possible d'utiliser les serveurs letsencryt_test pour ne pas taper directement sur la prod lors des test, oubliez pas que si vous avez 5 échec de suite vous êtes bloqué 24h sur les serveurs.
Il va falloir récupérer la valeur de ACCOUNT_THUMBPRINT
Configuration de HaProxy
On crée le répertoire qui va accueillir les certificats :
mkdir /etc/haproxy/certs
chown haproxy:haproxy /etc/haproxy/certs
chmod 770 /etc/haproxy/certs
Et dans la configuration de HaProxy :
global
...
setenv ACCOUNT_THUMBPRINT 'lCufto4sDRTHdmWL0EugFywGV54hBCuTTXvwifi65R4'
frontend web
bind :80
bind :443 ssl crt /etc/haproxy/certs/ strict-sni
http-request return status 200 content-type text/plain lf-string "%[path,field(-1,/)].${ACCOUNT_THUMBPRINT}\n" if { path_beg '/.well-known/acme-challenge/' }
Et bien sur on redémarre HaProxy
systemctl restart haproxy
Génération du certificat
Pour créer le certificat
sudo -u acme -s
acme.sh --issue -d example.com --stateless --server letsencrypt
Le déployer
DEPLOY_HAPROXY_HOT_UPDATE=yes DEPLOY_HAPROXY_STATS_SOCKET=/var/run/haproxy/admin.sock DEPLOY_HAPROXY_PEM_PATH=/etc/haproxy/certs acme.sh --deploy -d example.com --deploy-hook haproxy
Mettre en place la crontab
Pour le renouvellement
sudo -u acme -s
acme.sh --install-cronjob
Ce qui donne quelquechose comme ceci, qui est adaptable bien sur
15 14 * * * /usr/local/share/acme.sh/acme.sh --cron --home "/var/lib/acme/.acme.sh" > /dev/null
Configuration complète de HaProxy
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
# For acme.sh
setenv ACCOUNT_THUMBPRINT '******'
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 50000
timeout server 50000
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
# Frontends
frontend stats
bind 0.0.0.0:8080
stats enable
stats hide-version
stats uri /
stats realm Haproxy\ Statistics
stats auth haproxy:supertopsecretpasswod
stats refresh 10s
frontend web
bind :80
bind :443 ssl crt /etc/haproxy/certs/ strict-sni alpn h2,h2c,http/1.1
http-request return status 200 content-type text/plain lf-string "%[path,field(-1,/)].${ACCOUNT_THUMBPRINT}\n" if { path_beg '/.well-known/acme-challenge/' }
tcp-request inspect-delay 5s
# Redirect ssl
tcp-request content accept if { req_ssl_hello_type 1 }
http-request redirect scheme https unless { ssl_fc }
# forward header
option forwardfor
# HSTS (63072000 seconds)
http-response set-header Strict-Transport-Security max-age=63072000
# pmx-lb.
acl host_pmx hdr(host) -i url
use_backend pmx if host_pmx
# Backends
backend pmx
description Back-end proxmox
mode http
balance roundrobin
option forwardfor
option httpchk GET /
cookie SERVERID insert indirect nocache
http-request set-header X-Forwarded-Port %[dst_port]
http-request add-header X-Forwarded-Proto https if { ssl_fc }
server pmx-01 192.168.47.11:8006 cookie S1 check ssl verify none
server pmx-02 192.168.47.12:8006 cookie S1 check ssl verify none
server pmx-03 192.168.47.13:8006 cookie S1 check ssl verify none