Salut à tous,
 
Le contexte :
Dans mon entreprise, chaque site web public dispose de sa propre IP publique et d'un chiffrement SSL. Evidemment, les IP publiques ne sont pas illimitées.
Je leur ai donc proposé un reverse proxy utilisant une seule IP publique, distribuant les requêtes sur le bon serveur interne selon le nom de domaine demandé. Mais j'ai quelques soucis à mettre ça en place.
 
Je suis parti au début sur deux serveurs Debian Wheezy avec HAproxy et Keepalived pour créer un "cluster" de proxy.
Problème => la dernière version stable de HAproxy ne gère apparemment pas le https... dommage la config était très simple...
 
J'ai commencé à chercher du côté d'apache, nginx et consorts, et ils semblent faire du SSL termination, c'est à dire qu'ils décryptent et font ensuite du http entre le serveur web et le reverse proxy, ce qui ne me plaît pas.
Je me rappelle avoir fait du SSL de bout en bout avec ISA Server 2010, quelqu'un a fait ça sous Linux et pourrait m'éclairer ?

Hmmm déjà fait du ssl bridging avec squid en reverse proxy.
 
Après tu es sûr pour HAProxy ? Ca me semble bizarre.
http://blog.exceliance.fr/2012/04/ [...] extension/

Me semble l'avoir lu mais je vais double-checker ça.
En tout cas il m'envoie bouler quand je tente de bind du SSL dans mes entrées Frontend dans haproxy.cfg en disant que SSL n'est pas une option valide.

ta version n'est peut être pas compilée avec le support de ssl (par exemple squid sur debian n'est par défaut pas compilé avec, il faut le repackager ...)

Je viens de tomber là dessus aussi. Par contre je l'ai installée via apt, sans la compiler moi-même.
En install manuelle il aurait fallu ajouter USE_OPENSSL=yes dans la commande.
Mais dans mon cas je sais pas trop comment activer le truc je vais chercher.

il faut que tu récupères les sources du package debian, change la ligne de compilation pour ajouter le USE_OPENSSL=yes, install openssl-dev (ou libssl-dev je sais pas) puis lancer la creation du package.
 
Donc je pense que tu as plus vite fait de compiler depuis les sources

Ouais mais nan je confirme, il n'y a l'option SSL que sur les versions 1.5-devXX qui sont marquées "may be broken" dans les notes

Retour après avoir presque fini de tout configurer :
SSL n'est supporté qu'à partir de la version 1.5 (c'est à dire en développement pour le moment).
Je suis effectivement passé par du Reverse SSL pour avoir du SSL des deux côtés du reverse proxy.
Il reste juste à voir le problème de l'authentification IIS qui ne passe pas à travers...

Du coup tu as config en 1.5 ou tu es passé par autre chose ?

Je teste en 1.5 pour le moment. Du côté des autres, à part des solutions à base de stunel je n'ai pas vu grand chose et ça a l'air assez pourri en perf ?

Ca doit faire un an à peu près que j'avais testé du 1.5 mais jamais pour de la vrai prod. Ca marchait bien.
 
Pour exchange principalement. L'auth ntlm passe mais il y avait une option à virer je sais plus laquelle

Rahlala je galère depuis 3h sur ce problème, si tu pouvais m'éviter le saignement de nez en retrouvant tes notes !

tu as essayé de dégager option httpclose ? (trouvé ça sur google vite fait)

Hop bouge plus je viens de trouver (grace à toi, je sais pas pourquoi j'avais pas encore tapé NTLM dans mes mots clés google... je suis fatigué !)
Il faut virer ces options si elles sont présentes dans la configuration du backend qui utilise NTLM :
option http-server-close
option httpclose
option forclose
C'est pourri comme config mais NTLM nous y oblige.

Un ptit extrait du haproxy.cfg configuré pour le SSL Bridging pour deux sites différents dont l'un qui utilise NTLM si ça peut servir à d'autres :
 

disons que NTLM ne respecte pas vraiment le standard HTTP du coup tu es obligé de passer pas des cradosseries du genre

C'est le sens du message d'un des principaux contributeurs à haproxy que j'ai lu tout à l'heure ouais :')
En tout cas merci beaucoup pour ton aide !