Ошибка "ssl handshake failure" при использовании Haproxy
Автор Vladislav Fomichev, Last modified by Kirill Osipov на 28 октября 2024 03:59 PM

Продукты: Indeed AM (8.*)

Затрагиваемые компоненты: CORE, AK


Описание проблемы: Не работает балансировщик для AM/AK серверов. В логах присутствует ошибка: ssl handshake failure”.

Или, если в Haproxy ошибок нет, но на стороне AM/AK ошибка "Не удалось создать защищенный канал SSL/TLS"

Причины возникновения: Проблема с сертификатами, либо с используемой версией TLS.

Варианты решения:  

  1. Убедиться, что установлены валидные сертификаты. 
    • Проверить сертификат между AM и AK можно открыв внутренний URL AK сервера на сервере AM. 
    • Проверить сертификат между Haproxy и AK/AM можно с помощью одной из этих команд: 
      • curl https://<DNS_am_or_core>/ — команда должна вернуть ответ без ошибок. Если возвращается ошибка, то соединение не установлено. 
      • openssl s_client --connect <DNS_am_or_ak>  — команда вернет сертификаты клиента и сервера. Полученный текст не должен содержать ошибок. 
      • openssl s_client -connect <DNS_am_or_core>:443 -CAfile /etc/ssl/CA/<domain_cert>.cer — команда выполнит проверку соединения с сервером, используя CA сертификат.
        Пример успешной проверки:


  2. Если проблем с сертификатами нет, то необходимо понизить минимально используемую версию TLS до 1.0

Пример настройки для AK:

frontend airkey_server

mode http
bind *:81 ssl crt indeed.local.pem crt-ignore-err all ssl-min-ver TLSv1.0
option forwardfor
http-request redirect scheme https unless { ssl_fc }
default_backend backend_ak_servers_ssl

(3 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии:
Портал технической поддержки компании Индид