HaProxy – 502 Mala puerta de enlace: HTTP hablado en el puerto HTTPS

Voy a tratar de explicar mi problema.

Estoy trabajando en HaProxy 1.5.8 / apache 2.2, y trato de hacer alguna configuration SSL, pero fallo y fallo y fallo.

Veamos algunos loggings:

Registros de Haproxy

Aug 13 17:00:28 localhost haproxy[10930]: xxxx - - [13/Aug/2015:15:00:28 +0000] "URLxxxxx HTTP/1.1" 502 +656 "" "" 50567 131 "FT-https-in~" "BK-https-out" "myserver-https" 13 0 1 -1 +17 PH-- 0 0 0 0 0 0 0 "" "" 

Registros de error de Apache

 [Thu Aug 13 17:02:38 2015] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv2/v3 read client hello A [Thu Aug 13 17:02:38 2015] [info] [client haproxy-server] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page [Thu Aug 13 17:02:38 2015] [info] SSL Library Error: 336027804 error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request speaking HTTP to HTTPS port!? 

Mi configuration de HaProxy:

 # - Frontend - HTTPS in frontend FT-https-in bind *:443 ssl crt /etc/haproxy/ssl/my_cert.pem log global option forwardfor except 127.0.0.1 option httplog clf option log-separate-errors option logasap networkingirect scheme https if !{ ssl_fc } default_backend BK-https-out # - Backend - HTTPS out backend BK-https-out mode http option forwardfor except 127.0.0.1/8 header X-Forwarded-For log global option httplog clf option tcplog option http-pretend-keepalive option http-server-close # pool de serveur du backend server myserver-https xxxx:443 check 

He intentado corregir mi problema con la configuration de encabezados como:

  http-request set-header X-Forwarded-Port %[dst_port] http-request add-header X-Forwarded-Proto https if { ssl_fc } http-request add-header X-Proto https if { ssl_fc } http-request set-header X-SSL %[ssl_fc] 

Mi file pem se construye así: crt / key / bundle

Pero tema todavía aquí. ¡Si alguien pudiera tener una idea para ayudarme!

Gracias

Debe informar a HAproxy que el server backend está usando SSL:

 server myserver-https xxxx:443 ssl check verify none 

La parte 'verify none' le dice a haproxy que no verifique la cadena de certificates. Lo he incluido, pero puede que no sea necesario.

No debe necesitar ninguna de las líneas de encabezado indicadas a less que las desee.