Dieser Artikel führt Sie durch die Einrichtung der SSL-Terminierung auf HAProxy zum Verschlüsseln des Datenverkehrs über HTTPS. Wir werden ein selbstsigniertes SSL-Zertifikat für das neue Frontend verwenden. Es wird davon ausgegangen, dass Sie HAProxy bereits mit einem Standard-HTTP-Frontend installiert und konfiguriert haben.
Führen Sie die folgenden Codezeilen aus, um einen privaten Schlüssel und ein selbstsigniertes Zertifikat zu generieren, das mit HAProxy funktioniert.
openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem
Als erstes sollten Sie sicherstellen, dass SSLv3 deaktiviert ist. Aufgrund des POODLE-Angriffs gilt SSLv3 nicht mehr als sicher. Alle Anwendungen und Server sollten TLS 1.0 und höher verwenden. Öffnen Sie die Datei mit Ihrem bevorzugten Texteditor /etc/haproxy/haproxy.cfg. Suchen Sie im Inneren nach der Linie ssl-default-bind-options no-sslv3unter dem globalAbschnitt. Wenn Sie es nicht sehen, fügen Sie diese Zeile am Ende des Abschnitts vor dem defaultsAbschnitt hinzu. Dadurch wird sichergestellt, dass SSLv3 global deaktiviert ist. Sie können es auch in Ihren Frontend-Abschnitten festlegen. Es wird jedoch empfohlen, es global zu deaktivieren.
Auf das HTTPS-Setup. Erstellen Sie einen neuen Frontend-Abschnitt mit dem Namen web-https.
frontend web-https
bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem
reqadd X-Forwarded-Proto:\ https
rspadd Strict-Transport-Security:\ max-age=31536000
default_backend www-backend
Erklären:
bind public_ip:443(Änderung public_ipan Ihrer öffentlichen VPS-IP) Weist HAProxy an, alle Anforderungen abzuhören, die an die IP-Adresse am Port 443(den HTTPS-Port) gesendet werden .ssl crt /etc/ssl/certs/server.bundle.pem Weist HAProxy an, das zuvor generierte SSL-Zertifikat zu verwenden.reqadd X-Forwarded-Proto:\ https Fügt den HTTPS-Header am Ende der eingehenden Anforderung hinzu.rspadd Strict-Transport-Security:\ max-age=31536000 eine Sicherheitsrichtlinie zur Verhinderung von Downgrade-Angriffen.Sie müssen keine zusätzlichen Änderungen an Ihrem Backend-Bereich vornehmen.
Wenn Sie möchten, dass HAProxy standardmäßig HTTPS verwendet, fügen Sie redirect scheme https if !{ ssl_fc }am Anfang des www-backendAbschnitts hinzu. Dadurch wird die HTTPS-Umleitung erzwungen.
Speichern Sie Ihre Konfiguration und führen Sie sie aus service haproxy restart, um HAPRoxy neu zu starten. Jetzt können Sie HAProxy mit einem SSL-Endpunkt verwenden.
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
