Strona główna » » Dodaj zakończenie SSL do HAProxy na Ubuntu 14.04

Dodaj zakończenie SSL do HAProxy na Ubuntu 14.04

W tym artykule przeprowadzimy Cię przez konfigurację zakańczania protokołu SSL w HAProxy w celu szyfrowania ruchu przez HTTPS. W nowym interfejsie będziemy używać samopodpisanego certyfikatu SSL. Zakłada się, że masz już zainstalowany HAProxy i skonfigurowany ze standardową nakładką HTTP.

Wymagania

  • Vultr VPS
  • HAProxy 1.5
  • Ubuntu 14.04 LTS (powinien działać na innych wersjach i dystrybucji)

Wygeneruj certyfikat i klucz prywatny

Uruchom następujące wiersze kodu, aby wygenerować klucz prywatny i samopodpisany certyfikat, który będzie działał z HAProxy. 

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Skonfiguruj HAProxy

Pierwszą rzeczą, którą powinieneś zrobić, to upewnić się, że SSLv3 jest wyłączony. Z powodu ataku POODLE protokół SSLv3 nie jest już uważany za bezpieczny. Wszystkie aplikacje i serwery powinny korzystać z TLS 1.0 i nowszych. Otwórz ulubiony edytor tekstu /etc/haproxy/haproxy.cfg. W środku poszukaj linii ssl-default-bind-options no-sslv3pod globalsekcją. Jeśli go nie widzisz, dodaj ten wiersz na końcu sekcji przed defaultssekcją. Zapewni to globalne wyłączenie protokołu SSLv3. Możesz także ustawić go w swoich sekcjach interfejsu, ale zaleca się wyłączenie go globalnie.

Na konfiguracji HTTPS. Utwórz nową sekcję interfejsu użytkownika o nazwie web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

Wytłumaczyć:

  • bind public_ip:443(zmiana public_ipna publiczny adres IP VPS) informuje HAProxy, aby wysłuchał każdego żądania wysłanego na adres IP na porcie 443(port HTTPS).
  • ssl crt /etc/ssl/certs/server.bundle.pem informuje HAProxy, aby używał wcześniej wygenerowanego certyfikatu SSL.
  • reqadd X-Forwarded-Proto:\ https dodaje nagłówek HTTPS na końcu przychodzącego żądania.
  • rspadd Strict-Transport-Security:\ max-age=31536000 polityka bezpieczeństwa zapobiegająca atakom obniżającym wersję.

Nie musisz wprowadzać żadnych dodatkowych zmian w sekcji zaplecza.

Jeśli chcesz, aby HAProxy domyślnie używał HTTPS, dodaj redirect scheme https if !{ ssl_fc }na początku www-backendsekcji. Wymusi to przekierowanie HTTPS.

Zapisz konfigurację i uruchom, service haproxy restartaby zrestartować HAPRoxy. Teraz możesz już używać HAProxy z punktem końcowym SSL.

Zostaw komentarz

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.