Abfragen des neuen 2.1 Agenten - Sofot TLS beginnen? (Agent hinter Reverse-Proxy)

Hi,

ich betreibe einen Host (lxd), der nur via TLS:443 erreichbar ist. Auf diesem möchte ich checkmk_agent laufen lassen bzw. läuft schon.

Auf besagten Host läuft haproxy, mit dem ich die einzelnen eingehenden Verbindungen splitte.
Durch den TLS-Modus habe ich ja auch ein Zertifikat mit schöner eideutiger UUID drinnen, mit der man theoretisch die checkmk-Verbindung sehr gut erkennen und weiterleiten könnte.

Das Problem: Der checkmk Server scheint das “Client_Hello” erst zu senden, nachdem die gegenstelle ein PSH Flag zurückgegeben hat. Daher kann haproxy den SNI nicht auslesen und fällt, nach Ablauf des “tcp-request inspect-delay” aufs “default_backend” zurück. Geht, solange alles andere via SNI und co. gut erkenntbar ist. Aber schöner wärs, wenn auch checkmk erkennbar wäre.

Gitbs daher vielleicht eine Möglichkeit, dass der Server direkt mit TLS anfängt? Oder hat jemand ein ähnlcihes Problem schon anders gelöst?