Acasă » » Adăugați Terminarea SSL la HAProxy pe Ubuntu 14.04

Adăugați Terminarea SSL la HAProxy pe Ubuntu 14.04

Acest articol vă va ghida prin configurarea terminării SSL pe HAProxy, pentru criptarea traficului prin HTTPS. Vom folosi un certificat SSL auto-semnat pentru noul frontend. Se presupune că aveți deja HAProxy instalat și configurat cu un frontend HTTP standard.

cerinţe

  • Vultr VPS
  • HAProxy 1.5
  • Ubuntu 14.04 LTS (ar trebui să funcționeze pe alte versiuni și distribuție)

Generați certificat și cheie privată

Rulați următoarele linii de cod pentru a genera o cheie privată și un certificat semnat cu sine care va funcționa cu HAProxy. 

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Configurați HAProxy

Primul lucru pe care trebuie să îl faceți este să vă asigurați că SSLv3 este dezactivat. Datorită atacului POODLE, SSLv3 nu mai este considerat sigur. Toate aplicațiile și serverele ar trebui să utilizeze TLS 1.0 și versiuni ulterioare. Cu ajutorul editorului de text preferat, deschideți fișierul /etc/haproxy/haproxy.cfg. În interior, căutați linia de ssl-default-bind-options no-sslv3sub globalsecțiune. Dacă nu o vedeți, adăugați această linie la sfârșitul secțiunii înainte de defaultssecțiune. Acest lucru va asigura că SSLv3 este dezactivat la nivel global. Puteți să o setați și în interiorul secțiunilor frontend, dar este recomandat să o dezactivați la nivel global.

La configurarea HTTPS. Creați o nouă secțiune frontend numită web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

A explica:

  • bind public_ip:443(schimbare public_ipla ip-ul dvs. public VPS) îi spune HAProxy să asculte orice solicitare care este trimisă la adresa IP din port 443(portul HTTPS).
  • ssl crt /etc/ssl/certs/server.bundle.pem îi spune HAProxy să utilizeze certificatul SSL generat anterior.
  • reqadd X-Forwarded-Proto:\ https adaugă antetul HTTPS la sfârșitul cererii primite.
  • rspadd Strict-Transport-Security:\ max-age=31536000 o politică de securitate pentru a preveni atacurile de downgrade.

Nu trebuie să faceți modificări suplimentare secțiunii de backend.

Dacă doriți ca HAProxy să utilizeze HTTPS în mod implicit, adăugați redirect scheme https if !{ ssl_fc }la începutul www-backendsecțiunii. Acest lucru va forța redirecționarea HTTPS.

Salvați configurația și rulați service haproxy restartpentru a reporni HAPRoxy. Acum sunteți toți pregătiți să utilizați HAProxy cu un punct final SSL.

Lasă un comentariu

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe