Ubuntu 14.04のHAProxyにSSL終了を追加する

• 必要条件
• 証明書と秘密鍵を生成する
• HAProxyを構成する

この記事では、HTTPS経由のトラフィックを暗号化するために、HAProxyでSSLターミネーションを設定する方法について説明します。新しいフロントエンドには自己署名SSL証明書を使用します。HAProxyが既にインストールされ、標準のHTTPフロントエンドで構成されていることを前提としています。

必要条件

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS（他のバージョンとディストリビューションで動作するはずです）

証明書と秘密鍵を生成する

次のコード行を実行して、HAProxyで機能する秘密鍵と自己署名証明書を生成します。

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

HAProxyを構成する

最初に行うべきことは、SSLv3が無効になっていることを確認することです。POODLE攻撃により、SSLv3は安全とは見なされなくなりました。すべてのアプリケーションとサーバーはTLS 1.0以上を使用する必要があります。お好みのテキストエディタを使用して、ファイルを開きます/etc/haproxy/haproxy.cfg。内部ssl-default-bind-options no-sslv3で、globalセクションの下の線を探します。表示されない場合は、セクションの前のdefaultsセクションの最後にその行を追加してください。これにより、SSLv3がグローバルに無効になります。フロントエンドセクション内で設定することもできますが、グローバルに無効にすることをお勧めします。

HTTPS設定に進みます。という名前の新しいフロントエンドセクションを作成しますweb-https。

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

説明する：

• bind public_ip:443（public_ipVPSパブリックIPに変更）は、ポート443（HTTPSポート）のIPアドレスに送信されるすべての要求を待機するようHAProxyに指示します。
• ssl crt /etc/ssl/certs/server.bundle.pem 以前に生成されたSSL証明書を使用するようにHAProxyに指示します。
• reqadd X-Forwarded-Proto:\ https 着信リクエストの最後にHTTPSヘッダーを追加します。
• rspadd Strict-Transport-Security:\ max-age=31536000 ダウングレード攻撃を防ぐためのセキュリティポリシー。

バックエンドセクションに追加の変更を加える必要はありません。

HAProxyでデフォルトでHTTPSを使用する場合redirect scheme https if !{ ssl_fc }は、www-backendセクションの先頭に追加します。これにより、HTTPSリダイレクトが強制されます。

設定を保存して実行service haproxy restartし、HAPRoxyを再起動します。これで、SSLエンドポイントでHAProxyを使用する準備がすべて整いました。