Home » » Tambahkan Pemutusan SSL ke HAProxy di Ubuntu 14.04

Tambahkan Pemutusan SSL ke HAProxy di Ubuntu 14.04

Artikel ini akan memandu Anda dalam menyiapkan penghentian SSL di HAProxy, untuk mengenkripsi lalu lintas melalui HTTPS. Kami akan menggunakan sertifikat SSL yang ditandatangani sendiri untuk antarmuka baru. Diasumsikan bahwa Anda sudah menginstal dan mengkonfigurasi HAProxy dengan antarmuka HTTP standar.

Persyaratan

  • Vultr VPS
  • HAProxy 1.5
  • Ubuntu 14.04 LTS (Harus bekerja pada versi dan distribusi lain)

Hasilkan Sertifikat dan Kunci Pribadi

Jalankan baris kode berikut untuk menghasilkan kunci pribadi dan sertifikat yang ditandatangani sendiri yang akan bekerja dengan HAProxy. 

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Konfigurasikan HAProxy

Hal pertama yang harus Anda lakukan adalah memastikan bahwa SSLv3 dinonaktifkan. Karena serangan POODLE, SSLv3 tidak lagi dianggap aman. Semua aplikasi dan server harus menggunakan TLS 1.0 dan yang lebih tinggi. Menggunakan editor teks favorit Anda, buka file /etc/haproxy/haproxy.cfg. Di dalam, cari garis di ssl-default-bind-options no-sslv3bawah globalbagian. Jika Anda tidak melihatnya, tambahkan baris itu di akhir bagian sebelum defaultsbagian. Ini akan memastikan bahwa SSLv3 dinonaktifkan secara global. Anda juga dapat mengaturnya di dalam bagian frontend Anda, tetapi disarankan untuk menonaktifkannya secara global.

Ke pengaturan HTTPS. Buat bagian frontend baru bernama web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

Untuk menjelaskan:

  • bind public_ip:443(ubah public_ipke IP publik VPS Anda) memberi tahu HAProxy untuk mendengarkan permintaan apa pun yang dikirim ke alamat ip pada port 443(port HTTPS).
  • ssl crt /etc/ssl/certs/server.bundle.pem memberitahu HAProxy untuk menggunakan sertifikat SSL yang dibuat sebelumnya.
  • reqadd X-Forwarded-Proto:\ https menambahkan header HTTPS ke akhir permintaan yang masuk.
  • rspadd Strict-Transport-Security:\ max-age=31536000 kebijakan keamanan untuk mencegah serangan downgrade.

Anda tidak perlu membuat perubahan tambahan ke bagian backend Anda.

Jika Anda ingin HAProxy menggunakan HTTPS secara default, tambahkan redirect scheme https if !{ ssl_fc }ke awal www-backendbagian. Ini akan memaksa pengalihan HTTPS.

Simpan konfigurasi Anda dan jalankan service haproxy restartuntuk me-restart HAPRoxy. Sekarang Anda siap menggunakan HAProxy dengan titik akhir SSL.


Tags: #Linux Guides #Ubuntu #Web Servers

Leave a Comment

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

6 Hal yang Sangat Menggila dari Nintendo Switch

6 Hal yang Sangat Menggila dari Nintendo Switch

Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.

Janji Teknologi Yang Masih Belum Ditepati

Janji Teknologi Yang Masih Belum Ditepati

Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Baru-baru ini Apple merilis macOS Catalina 10.15.4 pembaruan suplemen untuk memperbaiki masalah tetapi tampaknya pembaruan menyebabkan lebih banyak masalah yang mengarah ke bricking mesin mac. Baca artikel ini untuk mempelajari lebih lanjut