Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Установка и настройка HAProxy

HAProxy (High Availability Proxy) — универсальный балансировщик нагрузки с открытым исходным кодом и программное обеспечение прокси-сервера. Его задача — эффективно распределять входящий сетевой трафик между несколькими брокерами для обеспечения высокой доступности, надежности и оптимальной производительности системы.

Для корректной работы системы выберите:

  • алгоритм балансировки с привязкой пользователя к определенному серверу: balance source и hash-type consistent. Подробнее о типах балансировки;

  • уровень балансировки (TCP/HTTP) и режим SSL (SSL Passthrough, SSL Bridging) в зависимости от направления трафика:

    • Балансировка на уровне TCP — используется для внутреннего трафика терминальный сервер/ВРМ — брокер. Передаёт зашифрованный трафик напрямую, без расшифровки (SSL Passthrough).

    • Балансировка на уровне HTTP — применяется для внешнего трафика десктоп-клиент — брокер. Позволяет проверять сертификаты клиентов и добавлять заголовки (SSL Bridging).

Проброс пользовательского IP-адреса

Для корректного отображения реального IP-адреса клиента в журнале событий портала администратора необходимо включить проброс IP-адреса на балансировщике нагрузки.

Балансировщик должен передавать исходный IP-адрес клиента на серверы брокеров. В HAProxy это реализуется с помощью директив:

http-request set-header X-Real-IP %[src]

Где:

  • http-request set-header X-Real-IP %[src] — передаёт реальный IP-адрес в заголовок X-Real-IP, который используется системой Termit для отображения в журналах.

Если используется другой балансировщик, необходимо настроить аналогичную функцию проброса исходного IP-адреса, чтобы брокеры получали реальный IP-адрес клиента. Эти настройки должны применяться в секции, которая обслуживает клиентский трафик (HTTP/HTTPS).

Установка и настройка HAProxy

Далее в разделе описано, как установить и настроить балансировщик нагрузки HAProxy для операционных систем: РЕД ОС, Astra Linux, Debian, Alt Linux и OpenSUSE.

РЕД ОС

Для установки используется последняя доступная в репозитории РЕД ОС версия HAProxy. Подробнее о конфигурации — на официальном сайте РЕД ОС.

  1. Установите ПО HAProxy с помощью команды:

    sudo dnf install haproxy
  2. Включите службу HAProxy и добавьте автозагрузку с помощью команды:

    sudo systemctl enable haproxy --now
  3. Добавьте в конец файла конфигурации /etc/haproxy/haproxy.cfg настройку серверов для балансировки.

    Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :80
       bind :443 ssl crt /etc/haproxy/cert.pem
       http-request redirect scheme https unless { ssl_fc }
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
    
    frontend termit_8443_https
       mode tcp
       bind :8443
       default_backend termit_servers_8443_https
    
    backend termit_servers_8443_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode tcp
       balance leastconn
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify none

    где:

    • /etc/haproxy/cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-int-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

    Пример конфигурации для внешнего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :443 ssl crt /etc/haproxy/external-lb-cert.pem
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required

    где:

    • /etc/haproxy/external-lb-cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-ext-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

  4. Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.

    sudo haproxy -f /etc/haproxy/haproxy.cfg -c
  5. Перезапустите службу с помощью команды:

    sudo systemctl restart haproxy
  6. Разрешите работу в SELinux с помощью команд:

    для внутреннего балансировщика
    sudo semanage port -m -t http_port_t -p tcp 4443
    sudo chcon -t cert_t /etc/haproxy/cert.pem
    sudo chcon -t cert_t /etc/haproxy/ca-int-broker-merged.pem
    для внешнего балансировщика
    sudo semanage port -a -t http_port_t -p tcp 10443
    sudo semanage port -m -t http_port_t -p tcp 10443
    sudo chcon -t cert_t /etc/haproxy/external-lb-cert.pem
    sudo chcon -t cert_t /etc/haproxy/ca-ext-broker-merged.pem
  7. Проверьте доступность Termit по URL адресу, указанному при установке брокер серверов.

Astra Linux

Для установки используется последняя доступная в репозитории Astra Linux версия HAProxy. Подробнее о конфигурации — на официальном сайте Astra Linux.

Для корректной работы HAProxy на Astra Linux в режимах высокой или максимальной защищенности может понадобится отключение или дополнительная настройка ненулевых классификационных меток. Подробнее о настройке можно ознакомиться на официальном сайте Astra Linux.

  1. Установите ПО HAProxy с помощью команды:

    sudo apt install haproxy
  2. Включите службу HAProxy и добавьте автозагрузку с помощью команды:

    sudo systemctl enable haproxy --now
  3. Добавьте в конец файла конфигурации /etc/haproxy/haproxy.cfg настройку серверов для балансировки.

    Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :80
       bind :443 ssl crt /etc/haproxy/cert.pem
       http-request redirect scheme https unless { ssl_fc }
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
    
    frontend termit_8443_https
       mode tcp
       bind :8443
       default_backend termit_servers_8443_https
    
    backend termit_servers_8443_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode tcp
       balance leastconn
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify none

    где:

    • /etc/haproxy/cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-int-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

    Пример конфигурации для внешнего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :443 ssl crt /etc/haproxy/external-lb-cert.pem
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required

    где:

    • /etc/haproxy/external-lb-cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-ext-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

  4. Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.

    sudo haproxy -f /etc/haproxy/haproxy.cfg -c
  5. Перезапустите службу с помощью команды:

    sudo systemctl restart haproxy
  6. Проверьте доступность Termit по URL адресу, указанному при установке брокера.

Debian

  1. Установите ПО HAProxy с помощью команды:

    sudo systemctl install haproxy
  2. Включите службу HAProxy и добавьте автозагрузку с помощью команды:

    sudo systemctl enable haproxy --now
  3. Добавьте в конец файла конфигурации /etc/haproxy/haproxy.cfg настройку серверов для балансировки.

    Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :80
       bind :443 ssl crt /etc/haproxy/cert.pem
       http-request redirect scheme https unless { ssl_fc }
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
    
    frontend termit_8443_https
       mode tcp
       bind :8443
       default_backend termit_servers_8443_https
    
    backend termit_servers_8443_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode tcp
       balance leastconn
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify none

    где:

    • /etc/haproxy/cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-int-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

    Пример конфигурации для внешнего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :443 ssl crt /etc/haproxy/external-lb-cert.pem
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required

    где:

    • /etc/haproxy/external-lb-cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-ext-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

  4. Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.

    sudo haproxy -f /etc/haproxy/haproxy.cfg -c
  5. Перезапустите службу с помощью команды:

    sudo systemctl restart haproxy
  6. Проверьте доступность Termit по URL адресу, указанному при установке брокера.

ALT Linux

  1. Установите ПО HAProxy с помощью команды:

    sudo apt-get install haproxy
  2. Включите службу HAProxy и добавьте автозагрузку с помощью команды:

    sudo systemctl enable haproxy --now
  3. Добавьте в конец файла конфигурации /etc/haproxy/haproxy.cfg настройку серверов для балансировки.

    Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :80
       bind :443 ssl crt /etc/haproxy/cert.pem
       http-request redirect scheme https unless { ssl_fc }
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
    
    frontend termit_8443_https
       mode tcp
       bind :8443
       default_backend termit_servers_8443_https
    
    backend termit_servers_8443_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode tcp
       balance leastconn
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify none

    где:

    • /etc/haproxy/cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-int-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

    Пример конфигурации для внешнего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :443 ssl crt /etc/haproxy/external-lb-cert.pem
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required

    где:

    • /etc/haproxy/external-lb-cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-ext-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

  4. Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.

    sudo haproxy -f /etc/haproxy/haproxy.cfg -c
  5. Перезапустите службу с помощью команды:

    sudo systemctl restart haproxy
  6. Проверьте доступность Termit по URL адресу, указанному при установке брокера.

OpenSUSE

  1. Установите ПО HAProxy с помощью команды:

    sudo zypper install haproxy
  2. Включите службу HAProxy и добавьте автозагрузку с помощью команды:

    sudo systemctl enable haproxy --now
  3. Добавьте в конец файла конфигурации /etc/haproxy/haproxy.cfg настройку серверов для балансировки.

    Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :80
       bind :443 ssl crt /etc/haproxy/cert.pem
       http-request redirect scheme https unless { ssl_fc }
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:443 ssl check ca-file /etc/haproxy/ca-int-broker-merged.pem verify required
    
    frontend termit_8443_https
       mode tcp
       bind :8443
       default_backend termit_servers_8443_https
    
    backend termit_servers_8443_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode tcp
       balance leastconn
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:8443 check check-ssl verify none
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:8443 check check-ssl verify none

    где:

    • /etc/haproxy/cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-int-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, если он был загружен по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

    Пример конфигурации для внешнего балансировщика в режиме SSL Bridging

    В примере приведен файл конфигурации с типом балансировки Source IP Hash.

    frontend termit_https
       mode http
       bind :443 ssl crt /etc/haproxy/external-lb-cert.pem
       http-request set-header X-Real-IP %[src]
       default_backend termit_servers_https
    
    backend termit_servers_https
       option httpchk
       http-check connect port 9090 ssl
       http-check send meth GET  uri /_/broker-health
       mode http
       balance source
       hash-type consistent
       server %Имя_Термит_Брокера_1% %IP_Адрес_Термит_Брокера_1%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required
       server %Имя_Термит_Брокера_2% %IP_Адрес_Термит_Брокера_2%:10443 ssl check ca-file /etc/haproxy/ca-ext-broker-merged.pem verify required

    где:

    • /etc/haproxy/external-lb-cert.pem - объединённый PEM-файл TLS-сертификата балансировщика HAProxy, содержащий:

      • Сертификат балансировщика (выданный для его доменного имени).

      • Соответствующий закрытый ключ.

      • Корневой сертификат (СА), необходимый для формирования цепочки доверия.

    • /etc/haproxy/ca-ext-broker-merged.pem - файл, состоящий из:

      • корневого и промежуточного сертификатов, которыми подписан сертификат брокера, загруженный по инструкции;

      • корневого и промежуточного служебных сертификатов брокера (их можно получить, перейдя по адресу https://FQDN_брокера:9090/ca — при открытии страницы начнётся загрузка необходимого файла на локальный компьютер).

  4. Проверьте созданный файл конфигурации с помощью команды ниже. Вывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.

    sudo haproxy -f /etc/haproxy/haproxy.cfg -c
  5. Перезапустите службу с помощью команды:

    sudo systemctl restart haproxy
  6. Проверьте доступность Termit по URL адресу, указанному при установке брокера.

Передача сертификата клиента для аутентификации по смарт-карте

Приведенные настройки передачи клиентского сертификата необходимы только при использовании аутентификации по смарт-карте на брокере или терминальном сервере. Если смарт-карты не применяются, изменять конфигурацию балансировщика нагрузки не требуется.

Для корректной работы аутентификации пользователей с помощью смарт-карт балансировщик нагрузки должен передавать клиентский сертификат брокеру. Это необходимо, чтобы брокер мог проверить подлинность пользователя и сопоставить его с учётной записью.

Настройки балансировщиков нагрузки для поддержки аутентификации по смарт-карте описаны в разделе.