haproxy sni ssl_fc_has_sni總是0

Question

我想在HAProxy中創建一個基於SNI的前端/後端設置。似乎ssl_fc_has_sni總是在我的日誌中評估爲0，我一直無法弄清楚爲什麼。

global 
    user haproxy 
    group haproxy 
    daemon 
    log /dev/log local0 

defaults 
    timeout connect 5s 
    timeout client 30s 
    timeout server 30s 
    timeout tunnel 1h 
    log-format frontend:%f\ %b/%s\ client_ip:%Ci\ client_port:%Cp\ SSL_version:%sslv\ SSL_cypher:%sslc\ SNI:%[ssl_fc_has_sni]\ %ts 

frontend public_ssl 
    bind :443 
    log global 
    tcp-request inspect-delay 5s 
    tcp-request content accept if { req_ssl_hello_type 1 } 

    use_backend be_sni if { ssl_fc_has_sni } 
    default_backend be_no_sni 

backend be_sni 
    server fe_sni 127.0.0.1:10444 weight 1 send-proxy 

frontend fe_sni 
    #terminate with a cert that matches the sni host 
    bind 127.0.0.1:10444 ssl crt /mycertdir/certs accept-proxy no-sslv3 
    default_backend be_default 

frontend fe_no_sni 
    #terminate with a generic cert 
    bind 127.0.0.1:10443 ssl crt /myothercertdir/default_pub_keys.pem accept-proxy no-sslv3 
    default_backend be_default 

# backend for when sni does not exist, or ssl term needs to happen on the edge 
backend be_no_sni 
    server fe_no_sni 127.0.0.1:10443 weight 1 send-proxy 

backend be_default 
    mode http 
    option forwardfor 
    option http-pretend-keepalive 
    server the_backend 127.0.0.1:8080 

其他注意事項：

• haproxy -vv顯示OpenSSL庫支持SNI：是
• 我

  這是配置的簡化版本，我一直在測試在fedora 20上通過vagrant運行haproxy版本1.5.9

• 日誌總是顯示SNI：0 haproxy[17807]: frontend:public_ssl be_no_sni/fe_no_sni client_ip:<ip> client_port:42285 SSL_version:- SSL_cypher:- SNI:0 --
• 我正在使用openssl s_client -servername www.example.com -connect <ip>:443進行測試。

我覺得我失去了一些明顯的東西，因爲沒有ssl版本，cypher或sni。

Answer 1

看起來像ssl_fc_has_sni是爲了在終止後使用。檢查SNI主機的存在可以通過以下方式來完成：

frontend public_ssl 
    bind :443 
    mode tcp 
    tcp-request inspect-delay 5s 
    tcp-request content accept if { req_ssl_hello_type 1 } 
    use_backend be_sni if { req.ssl_sni -m found } 
    default_backend be_no_sni