リバースプロキシが動かない

[Noiri]

概要
あなたはある会社で先輩に次のように言われました。

ちょっと前、WebアプリがHTTPで通信してて危険だって言われてたから、リバースプロキシを挟もうと思ったんだよね。検証環境では動いていたから、そのコンフィグをそのまま実環境に上げてみたんだけど、動かないんだよね。なんかよく分からないんだけどデバッグお願いできる？

この先輩の悩みを解決してあげてください。なお、先輩の机の上に残されたメモから、この実環境について次のような事が分かっている。

先輩はHAProxyを用いてリバースプロキシを構築している
先輩が残した検証環境のconfigは/etc/haproxy/haproxy.cfgにある
検証環境と実環境では同じパスに証明書が配置されている
前提条件
HAProxyを経由せずに問題を解決してはいけない
この問題を解くために踏み台サーバに手を加えてはいけない
問題を解析するために何かをインストールするのは良いですが、踏み台には手を加えずに問題を解くことができます
初期状態
serverに対してcurlをしても応答が返ってこない
% curl https://192.168.4.1
curl: (7) Failed to connect to 192.168.4.1 port 443: Connection refused
終了状態
踏み台サーバからserverに対し、実環境のドメイン名を使ってcurlすることができる
この時、insecureオプションをつけずにリクエストができる
% curl https://...

...

[koba1t]

設定に問題がありhaproxyが起動していないのでその解消を行った

• 設定に意図しない改行が入っていたので除去した.

ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384  

[koba1t]

証明書のドメインはこれ

$ curl https://gwn.2020-final.ictsc.net

[koba1t]

haproxyの設定で証明書についていたドメインでアクセスできるようにした

        acl is_gwn_local hdr_end(host) -i gwn.2020-final.ictsc.net
        use_backend backend if is_gwn_local

証明書無視でアクセス可能

$ curl https://gwn.2020-final.ictsc.net -k
<!DOCTYPE html>
<html>
<head>
        <title>Congraturations!</title>
</head>
<body>
        <h1>Congraturations!</h1>
</body>

[koba1t]

自己証明書をインストールしたら上手くいった

cp /srv/ictsc2020/chain.pem /usr/share/ca-certificates/ictsc2020/
sudo update-ca-certificates

結果

$ curl https://gwn.2020-final.ictsc.net
<!DOCTYPE html>
<html>
<head>
        <title>Congraturations!</title>
</head>
<body>
        <h1>Congraturations!</h1>
</body>
</html>