Ubuntu 14.04 पर HAProxy में SSL समाप्ति जोड़ें

• आवश्यकताएँ
• प्रमाण पत्र और निजी कुंजी उत्पन्न करें
• HAProxy कॉन्फ़िगर करें

यह आलेख HTTPS पर ट्रैफ़िक को एन्क्रिप्ट करने के लिए, HAProxy पर SSL समाप्ति सेट अप करने के माध्यम से चलेगा। हम नए फ़्रंट के लिए एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र का उपयोग करेंगे। यह माना जाता है कि आपके पास पहले से ही HAProxy स्थापित है और एक मानक HTTP दृश्यपटल के साथ कॉन्फ़िगर किया गया है।

आवश्यकताएँ

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (अन्य संस्करणों और वितरण पर काम करना चाहिए)

प्रमाण पत्र और निजी कुंजी उत्पन्न करें

एक निजी कुंजी और एक स्व-हस्ताक्षरित प्रमाण पत्र बनाने के लिए कोड की निम्नलिखित पंक्तियों को चलाएं जो कि HAProxy के साथ काम करेगा।

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

HAProxy कॉन्फ़िगर करें

पहली चीज जो आपको करनी चाहिए वह यह सुनिश्चित करने के लिए है कि एसएसएलवी 3 अक्षम है। POODLE के हमले के कारण, SSLv3 को अब सुरक्षित नहीं माना जाता है। सभी अनुप्रयोगों और सर्वरों को टीएलएस 1.0 और इसके बाद के संस्करण का उपयोग करना चाहिए। अपने पसंदीदा टेक्स्ट एडिटर का उपयोग करके, फ़ाइल खोलें /etc/haproxy/haproxy.cfg। अंदर, अनुभाग के ssl-default-bind-options no-sslv3नीचे की रेखा देखें global। यदि आप इसे नहीं देखते हैं, तो अनुभाग के अंत में उस पंक्ति को अनुभाग के अंत में जोड़ें defaults। यह सुनिश्चित करेगा कि SSLv3 वैश्विक रूप से अक्षम है। आप इसे अपने सीमावर्ती खंडों के अंदर भी सेट कर सकते हैं, लेकिन इसे विश्व स्तर पर अक्षम करने की सिफारिश की जाती है।

HTTPS सेटअप पर। नाम से एक नया फ्रंटेंड सेक्शन बनाएँ web-https।

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

समझाना:

• bind public_ip:443( public_ipअपने VPS सार्वजनिक आईपी में परिवर्तन ) HAProxy को पोर्ट 443( IPTPS पोर्ट) पर IP पते पर भेजे गए किसी भी अनुरोध को सुनने के लिए कहता है ।
• ssl crt /etc/ssl/certs/server.bundle.pem पहले से उत्पन्न SSL प्रमाणपत्र का उपयोग करने के लिए HAProxy बताता है।
• reqadd X-Forwarded-Proto:\ https आने वाले अनुरोध के अंत में HTTPS हेडर जोड़ता है।
• rspadd Strict-Transport-Security:\ max-age=31536000 एक सुरक्षा नीति डाउनग्रेड हमलों के खिलाफ रोकने के लिए।

आपको अपने बैकेंड सेक्शन में कोई अतिरिक्त बदलाव करने की आवश्यकता नहीं है।

यदि आप HAProxy को डिफ़ॉल्ट रूप से HTTPS का उपयोग करना चाहते हैं, redirect scheme https if !{ ssl_fc }तो www-backendअनुभाग की शुरुआत में जोड़ें । यह HTTPS को पुनर्निर्देशन के लिए मजबूर करेगा।

अपने कॉन्फ़िगरेशन को सहेजें और service haproxy restartHAPRoxy को पुनरारंभ करने के लिए चलाएँ। अब आप SSL समापन बिंदु के साथ HAProxy का उपयोग करने के लिए पूरी तरह तैयार हैं।