Varnish no realiza las terminaciones SSL por lo que hay que usar un proxy intermedio para realizarlas. En este post mostraré una configuración para tener una terminación con Haproxy y Varnish.

Ambos utilizan el protocolo PROXY. Para que Varnish lo utilice, hay que configurar la opción -a :6083,PROXY. La ejecución del servicio Varnish puede quedar así:

ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :6081 -a :6083,PROXY -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,4096m  -l 100m,10m  -t 60 -p feature=_++esi_disable_xml_check -p connect_timeout=5 -p first_byte_timeout=10 -p between_bytes_timeout=2

En el VLC añadir estas líneas:

sub vcl_recv {  
    set req.http.x-clientip = client.ip;
    set req.http.x-serverip = server.ip;
    set req.http.x-localip  = local.ip;
    set req.http.x-remoteip = remote.ip;
    ...
}

Creamos un certificado autofirmado para la terminación:

# mkdir /etc/ssl/chop.io
# openssl genrsa -out /etc/ssl/chop.io/chop.io.key 1024
# openssl req -new -key /etc/ssl/chop.io/chop.io.key \
              -out /etc/ssl/chop.io/chop.io.csr
        
# openssl x509 -req -days 365 -in /etc/ssl/chop.io/chop.io.csr \
               -signkey /etc/ssl/chop.io/chop.io.key \
               -out /etc/ssl/chop.io/chop.io.crt
# cat /etc/ssl/chop.io/chop.io.crt /etc/ssl/chop.io/chop.io.key \
                | tee /etc/ssl/chop.io/chop.io.pem

En el archivo de configuración de Haproxy hay que añadir al final algo como esto:

frontend http-in-proxy
  bind *:80
  bind *:443 ssl crt /etc/ssl/chop.io/chop.io.pem
  redirect scheme https if !{ ssl_fc }
  default_backend servers-proxy

backend servers-proxy
  server webapp1 192.168.122.20:6083 send-proxy-v2
  server webapp2 192.168.122.20:6083 send-proxy-v2

Si ya configuramos el VCL de Varnish, con esto ya deberíamos tener hecha la terminación.