Voeg SSL-beëindiging toe aan HAProxy op Ubuntu 14.04

• Vereisten
• Genereer certificaat en privésleutel
• Configureer HAProxy

Dit artikel begeleidt u bij het instellen van SSL-beëindiging op HAProxy, voor het versleutelen van verkeer via HTTPS. We zullen een zelfondertekend SSL-certificaat gebruiken voor een nieuwe frontend. Er wordt aangenomen dat u HAProxy al hebt geïnstalleerd en geconfigureerd met een standaard HTTP-frontend.

Vereisten

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (zou moeten werken op andere versies en distributie)

Genereer certificaat en privésleutel

Voer de volgende coderegels uit om een ​​persoonlijke sleutel en een zelfondertekend certificaat te genereren dat werkt met HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Configureer HAProxy

Het eerste dat u moet doen, is ervoor zorgen dat SSLv3 is uitgeschakeld. Vanwege de POODLE-aanval wordt SSLv3 niet langer als veilig beschouwd. Alle applicaties en servers moeten TLS 1.0 en hoger gebruiken. Open het bestand met je favoriete teksteditor /etc/haproxy/haproxy.cfg. Zoek binnen de lijn ssl-default-bind-options no-sslv3onder de globalsectie. Als je het niet ziet, voeg die regel dan toe aan het einde van de sectie voor de defaultssectie. Dit zorgt ervoor dat SSLv3 wereldwijd wordt uitgeschakeld. Je kunt het ook instellen in je frontend-secties, maar het wordt aanbevolen om het wereldwijd uit te schakelen.

Op de HTTPS-setup. Maak een nieuwe frontend-sectie met de naam web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Uitleggen:

• bind public_ip:443(wijziging public_ipin uw openbare VPS-ip) vertelt HAProxy om te luisteren naar elk verzoek dat naar het ip-adres op de poort wordt gestuurd 443(de HTTPS-poort).
• ssl crt /etc/ssl/certs/server.bundle.pem vertelt HAProxy om het eerder gegenereerde SSL-certificaat te gebruiken.
• reqadd X-Forwarded-Proto:\ https voegt de HTTPS-header toe aan het einde van de inkomende aanvraag.
• rspadd Strict-Transport-Security:\ max-age=31536000 een beveiligingsbeleid om aanvallen tegen downgrade te voorkomen.

U hoeft geen extra wijzigingen aan te brengen in uw backend-sectie.

Als u wilt dat HAProxy standaard HTTPS gebruikt, voeg dan toe redirect scheme https if !{ ssl_fc }aan het begin van de www-backendsectie. Dit zal HTTPS-omleiding afdwingen.

Sla uw configuratie op en voer uit service haproxy restartom HAPRoxy opnieuw te starten. Nu ben je helemaal klaar om HAProxy te gebruiken met een SSL-eindpunt.