Agregar terminación SSL a HAProxy en Ubuntu 14.04

Requisitos
Generar certificado y clave privada
Configurar HAProxy

Este artículo lo guiará a través de la configuración de la terminación SSL en HAProxy, para encriptar el tráfico a través de HTTPS. Utilizaremos un certificado SSL autofirmado para la nueva interfaz. Se supone que ya tiene HAProxy instalado y configurado con una interfaz HTTP estándar.

Requisitos

Vultr VPS
HAProxy 1.5
Ubuntu 14.04 LTS (debería funcionar en otras versiones y distribución)

Generar certificado y clave privada

Ejecute las siguientes líneas de código para generar una clave privada y un certificado autofirmado que funcionará con HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Configurar HAProxy

Lo primero que debe hacer es asegurarse de que SSLv3 esté deshabilitado. Debido al ataque POODLE, SSLv3 ya no se considera seguro. Todas las aplicaciones y servidores deben usar TLS 1.0 y superior. Usando su editor de texto favorito, abra el archivo /etc/haproxy/haproxy.cfg. En el interior, busque la línea ssl-default-bind-options no-sslv3debajo de la globalsección. Si no lo ve, agregue esa línea al final de la sección antes de la defaultssección. Esto asegurará que SSLv3 esté deshabilitado globalmente. También puede configurarlo dentro de sus secciones frontend, pero se recomienda desactivarlo globalmente.

En la configuración HTTPS. Cree una nueva sección de interfaz denominada web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

Para explicar:

bind public_ip:443(cambie public_ipa su IP pública VPS) le dice a HAProxy que escuche cualquier solicitud que se envíe a la dirección IP en el puerto 443(el puerto HTTPS).
ssl crt /etc/ssl/certs/server.bundle.pem le dice a HAProxy que use el certificado SSL generado previamente.
reqadd X-Forwarded-Proto:\ https agrega el encabezado HTTPS al final de la solicitud entrante.
rspadd Strict-Transport-Security:\ max-age=31536000 Una política de seguridad para prevenir ataques de degradación.

No es necesario que realice ningún cambio adicional en su sección de back-end.

Si desea que HAProxy use HTTPS de forma predeterminada, agréguelo redirect scheme https if !{ ssl_fc }al comienzo de la www-backendsección. Esto forzará la redirección HTTPS.

Guarde su configuración y ejecútela service haproxy restartpara reiniciar HAPRoxy. Ahora ya está todo listo para usar HAProxy con un punto final SSL.

Dejar un comentario

Comentario *

Nombre *

Sitio web

ZPanel y Sentora en CentOS 6 x64

ZPanel, un panel de control de alojamiento web popular, se bifurcó en 2014 a un nuevo proyecto llamado Sentora. Aprende a instalar Sentora en tu servidor con este tutorial.

Cómo instalar Vtiger CRM Open Source Edition en CentOS 7

Aprende cómo instalar Vtiger CRM, una aplicación de gestión de relaciones con el cliente, en CentOS 7 para aumentar tus ventas y mejorar el servicio al cliente.

Cómo instalar el servidor Counter-Strike 1.6 en Linux

Esta guía completa le mostrará cómo configurar un servidor Counter-Strike 1.6 en Linux, optimizando el rendimiento y la seguridad para el mejor juego. Aprende los pasos más recientes aquí.

¿Puede la IA luchar con un número cada vez mayor de ataques de ransomware?

Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición

ReactOS: ¿Es este el futuro de Windows?

ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.

Manténgase conectado a través de la aplicación de escritorio WhatsApp 24 * 7

Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+

¿Cómo puede la IA llevar la automatización de procesos al siguiente nivel?

Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.

La actualización complementaria de macOS Catalina 10.15.4 está causando más problemas que resolver

Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información

13 Herramientas comerciales de extracción de datos de Big Data

¿Qué es un sistema de archivos de diario y cómo funciona?

Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.