HAProxy 2.4版本在OpenSSL 3.2环境下证书加载问题分析

问题背景

近期在Rocky Linux 9.5系统升级后，用户报告HAProxy 2.4.22版本无法正常启动，出现"unable to load certificate chain from file"错误。这一问题源于系统将OpenSSL从3.0.7升级到了3.2.2版本，导致HAProxy无法正确加载分离存储的证书和私钥文件。

问题现象

当使用HAProxy 2.4.x版本配合OpenSSL 3.2.2时，如果采用以下证书管理方式：

• 证书链文件：/etc/haproxy/certs/site.pem（包含证书和中间证书）
• 私钥文件：/etc/haproxy/certs/site.pem.key（单独存储私钥）

HAProxy会报错无法加载证书链。而将私钥合并到证书文件中（即site.pem包含私钥、证书和中间证书）则可以正常工作。

技术分析

OpenSSL API变更

HAProxy 2.4系列使用的是OpenSSL 1.x和早期3.0版本的API。随着OpenSSL 3.2的发布，一些API行为发生了变化：

1. 在OpenSSL 3.0.7及更早版本中，HAProxy能够正确处理分离的证书和私钥文件
2. OpenSSL 3.2.2修改了PEM文件加载时的错误处理机制
3. HAProxy 2.4使用的旧API在遇到非预期的PEM类型时，错误码发生了变化

版本兼容性

测试发现不同HAProxy版本的表现：

• HAProxy 2.4.28（最新2.4系列）：无法加载分离的证书和私钥
• HAProxy 2.6+版本：正常工作，因为这些版本已迁移到OpenSSL 3.0的新API
• HAProxy 3.x版本：同样正常工作

解决方案

临时解决方案

1. 合并证书和私钥：将私钥内容添加到证书文件中，形成完整的PEM文件

   cat private.key certificate.crt intermediate.crt > combined.pem
   

2. 降级OpenSSL：回退到OpenSSL 3.0.x版本（不推荐，可能影响系统安全性）

长期解决方案

1. 升级HAProxy：迁移到HAProxy 2.6或更高版本，这些版本已适配OpenSSL 3.x的新API
2. 等待修复：HAProxy 2.4分支已有一个修复提交(d03501c)，但2.4系列仅接收关键修复，新版本发布周期较长

最佳实践建议

1. 对于使用RHEL/CentOS/Rocky Linux 9.x系列的用户，建议：

   • 评估升级到HAProxy 2.6或3.x的可能性
   • 如必须使用2.4版本，采用合并证书和私钥的临时方案

2. 证书管理方面：

   • 保持证书链完整（终端证书+中间证书）
   • 确保证书文件权限适当（通常为640，属主root，属组haproxy）
   • 定期更新证书，特别是使用Let's Encrypt等短期证书时

3. 系统维护方面：

   • 在升级OpenSSL等基础加密库前，测试关键服务
   • 关注发行版的软件包更新公告

总结

这一问题凸显了加密基础设施升级时可能带来的兼容性挑战。HAProxy 2.4系列设计时主要面向OpenSSL 1.x和早期3.0版本，随着OpenSSL 3.2的API变化，出现了证书加载问题。对于生产环境，建议优先考虑升级到受支持的HAProxy版本，以获得更好的兼容性和安全性保障。