Open Noiri opened 3 years ago
設定に問題がありhaproxyが起動していないのでその解消を行った
ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
証明書のドメインはこれ
$ curl https://gwn.2020-final.ictsc.net
haproxyの設定で証明書についていたドメインでアクセスできるようにした
acl is_gwn_local hdr_end(host) -i gwn.2020-final.ictsc.net
use_backend backend if is_gwn_local
証明書無視でアクセス可能
$ curl https://gwn.2020-final.ictsc.net -k
<!DOCTYPE html>
<html>
<head>
<title>Congraturations!</title>
</head>
<body>
<h1>Congraturations!</h1>
</body>
自己証明書をインストールしたら上手くいった
cp /srv/ictsc2020/chain.pem /usr/share/ca-certificates/ictsc2020/
sudo update-ca-certificates
結果
$ curl https://gwn.2020-final.ictsc.net
<!DOCTYPE html>
<html>
<head>
<title>Congraturations!</title>
</head>
<body>
<h1>Congraturations!</h1>
</body>
</html>
概要 あなたはある会社で先輩に次のように言われました。
ちょっと前、WebアプリがHTTPで通信してて危険だって言われてたから、リバースプロキシを挟もうと思ったんだよね。検証環境では動いていたから、そのコンフィグをそのまま実環境に上げてみたんだけど、動かないんだよね。なんかよく分からないんだけどデバッグお願いできる?
この先輩の悩みを解決してあげてください。なお、先輩の机の上に残されたメモから、この実環境について次のような事が分かっている。
先輩はHAProxyを用いてリバースプロキシを構築している 先輩が残した検証環境のconfigは/etc/haproxy/haproxy.cfgにある 検証環境と実環境では同じパスに証明書が配置されている 前提条件 HAProxyを経由せずに問題を解決してはいけない この問題を解くために踏み台サーバに手を加えてはいけない 問題を解析するために何かをインストールするのは良いですが、踏み台には手を加えずに問題を解くことができます 初期状態 serverに対してcurlをしても応答が返ってこない % curl https://192.168.4.1 curl: (7) Failed to connect to 192.168.4.1 port 443: Connection refused 終了状態 踏み台サーバからserverに対し、実環境のドメイン名を使ってcurlすることができる この時、insecureオプションをつけずにリクエストができる % curl https://... <!DOCTYPE html>
...