Ubuntu 14.04에서 HAProxy에 SSL 종료 추가

• 요구 사항
• 인증서 및 개인 키 생성
• HAProxy 구성

이 기사에서는 HTTPS를 통한 트래픽 암호화를 위해 HAProxy에서 SSL 종료를 설정하는 방법을 안내합니다. 새로운 프론트 엔드에 자체 서명 된 SSL 인증서를 사용할 것입니다. 표준 HTTP 프론트 엔드로 HAProxy를 설치하고 구성한 것으로 가정합니다.

요구 사항

• Vultr VPS
• HAProxy 1.5
• 우분투 14.04 LTS (다른 버전 및 배포판에서 작동해야 함)

인증서 및 개인 키 생성

다음 코드 줄을 실행하여 HAProxy와 함께 작동 할 개인 키 및 자체 서명 된 인증서를 생성하십시오.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

HAProxy 구성

가장 먼저해야 할 일은 SSLv3가 비활성화되어 있는지 확인하는 것입니다. POODLE 공격으로 인해 SSLv3은 더 이상 안전한 것으로 간주되지 않습니다. 모든 응용 프로그램 및 서버는 TLS 1.0 이상을 사용해야합니다. 자주 사용하는 텍스트 편집기를 사용하여 파일을 엽니 다 /etc/haproxy/haproxy.cfg. 내부 ssl-default-bind-options no-sslv3에서 global섹션 아래의 줄을 찾으십시오 . 표시되지 않으면 섹션 앞의 defaults섹션 끝에 해당 줄을 추가 하십시오. 이렇게하면 SSLv3이 전체적으로 비활성화됩니다. 프런트 엔드 섹션 내에 설정할 수도 있지만 전역 적으로 사용하지 않는 것이 좋습니다.

HTTPS 설정으로. 라는 이름의 새 프런트 엔드 섹션을 만듭니다 web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

설명하기:

• bind public_ip:443( public_ipVPS 공용 IP로 변경 )는 포트의 IP 주소 443(HTTPS 포트) 로 전송 된 요청을 HAProxy가 수신하도록 HAProxy에 지시 합니다.
• ssl crt /etc/ssl/certs/server.bundle.pem HAProxy에게 이전에 생성 된 SSL 인증서를 사용하도록 지시합니다.
• reqadd X-Forwarded-Proto:\ https 들어오는 요청의 끝에 HTTPS 헤더를 추가합니다.
• rspadd Strict-Transport-Security:\ max-age=31536000 다운 그레이드 공격을 방지하기위한 보안 정책.

백엔드 섹션을 추가로 변경할 필요가 없습니다.

HAProxy가 기본적으로 HTTPS를 사용하게 redirect scheme https if !{ ssl_fc }하려면 www-backend섹션 의 시작 부분에 추가 하십시오. 이것은 HTTPS 리디렉션을 강제합니다.

구성을 저장하고 service haproxy restartHAPRoxy를 다시 시작하십시오. 이제 SSL 엔드 포인트와 함께 HAProxy를 사용하도록 설정되었습니다.