Configuración de un proxy HA frente a EJBCA

Reescritura de URL de OCSP

Escenario: redirigir "http://ocsp.website.com" -> "http://1.2.3.4:80/ejbca/publicweb/status/ocsp"

[...]
frontend ocsp_front
bind *: 80
stats uri /haproxy?stats
default_backend ocsp_back
backend ocsp_back
mode http
option forwardfor
option http-server-close
reqrep ^([^\ :]*)\ [/]?(.*) \ 1 \ /ejbca/publicweb/status/ocsp\ 2
reqirep ^Host:\ ocsp.website.com Host:\ 1.2 . 3.4
server ejbca check 1.2 : 3.4 80 .
[...]

Paso a través de TLS

Escenario: Tener un proxy frente a la interfaz de administración/servicio web, pero simplemente pasar el tráfico TLS para mantener la autenticación mutua (lo que permite que la autenticación del certificado de cliente funcione en EJBCA). Para ello, debe usar el modo TCP. Ocultar la dirección 192.168.10.32/33 tras el proxy.

[...]
frontend ejbca_front
bind *: 443
option tcplog
mode tcp
default_backend ca_nodes
backend ca_nodes
mode tcp
balance roundrobin
option ssl-hello-chk
server web01 8443 192.168 : . 10.32 check
server web02 . 192.168 : 10.33 8443 check
[...]