หน้าแรก » » เพิ่มการสิ้นสุด SSL ให้กับ HAProxy บน Ubuntu 14.04

เพิ่มการสิ้นสุด SSL ให้กับ HAProxy บน Ubuntu 14.04

บทความนี้จะแนะนำคุณเกี่ยวกับการตั้งค่าการเลิกจ้าง SSL บน HAProxy สำหรับการเข้ารหัสปริมาณข้อมูลผ่าน HTTPS เราจะใช้ใบรับรอง SSL ที่ลงชื่อด้วยตนเองสำหรับส่วนหน้าใหม่ สมมุติว่าคุณติดตั้ง HAProxy แล้วและกำหนดค่าด้วยส่วนหน้า HTTP มาตรฐาน

ความต้องการ

  • Vultr VPS
  • HAProxy 1.5
  • Ubuntu 14.04 LTS (ควรทำงานกับรุ่นอื่นและการกระจาย)

สร้างใบรับรองและรหัสส่วนตัว

เรียกใช้บรรทัดของรหัสต่อไปนี้เพื่อสร้างคีย์ส่วนตัวและใบรับรองแบบลงนามด้วยตนเองที่จะทำงานกับ HAProxy 

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

กำหนดค่า HAProxy

สิ่งแรกที่คุณควรทำคือต้องแน่ใจว่า SSLv3 ถูกปิดใช้งาน เนื่องจากการโจมตี POODLE SSLv3 จึงไม่ได้รับการพิจารณาว่าปลอดภัยอีกต่อไป แอปพลิเคชันและเซิร์ฟเวอร์ทั้งหมดควรใช้ TLS 1.0 ขึ้นไป /etc/haproxy/haproxy.cfgใช้โปรแกรมแก้ไขข้อความที่คุณชื่นชอบให้เปิดไฟล์ ภายในค้นหาบรรทัดssl-default-bind-options no-sslv3ใต้globalส่วน หากคุณไม่เห็นให้เพิ่มบรรทัดนั้นที่ส่วนท้ายของส่วนก่อนdefaultsส่วน สิ่งนี้จะช่วยให้มั่นใจได้ว่า SSLv3 ถูกปิดใช้งานทั่วโลก คุณสามารถตั้งค่าไว้ในส่วนหน้าของคุณได้ แต่ขอแนะนำให้ปิดการใช้งานทั่วโลก

เข้าสู่การตั้งค่า HTTPS web-httpsสร้างส่วนหน้าใหม่ที่ชื่อว่า

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

อธิบาย:

  • bind public_ip:443(เปลี่ยนpublic_ipเป็น IP สาธารณะ VPS ของคุณ) บอกให้ HAProxy รับฟังคำขอใด ๆ ที่ส่งไปยังที่อยู่ ip บนพอร์ต443(พอร์ต HTTPS)
  • ssl crt /etc/ssl/certs/server.bundle.pem บอก HAProxy ให้ใช้ใบรับรอง SSL ที่สร้างขึ้นก่อนหน้านี้
  • reqadd X-Forwarded-Proto:\ https เพิ่มส่วนหัว HTTPS ในตอนท้ายของคำขอที่เข้ามา
  • rspadd Strict-Transport-Security:\ max-age=31536000 นโยบายความปลอดภัยเพื่อป้องกันการโจมตีแบบดาวน์เกรด

คุณไม่จำเป็นต้องทำการเปลี่ยนแปลงเพิ่มเติมใด ๆ กับส่วนแบ็กเอนด์ของคุณ

หากคุณต้องการให้ HAProxy ใช้ HTTPS ตามค่าเริ่มต้นให้เพิ่มredirect scheme https if !{ ssl_fc }ไปยังส่วนเริ่มต้นของwww-backendส่วน สิ่งนี้จะบังคับให้เปลี่ยนเส้นทาง HTTPS

บันทึกคอนฟิกูเรชันของคุณและรันservice haproxy restartเพื่อรีสตาร์ท HAPRoxy ตอนนี้คุณพร้อมที่จะใช้ HAProxy กับ SSL endpoint แล้ว

ฝากความเห็น

วิธีการติดตั้ง Directus 6.4 CMS บน CentOS 7 LAMP VPS

วิธีการติดตั้ง Directus 6.4 CMS บน CentOS 7 LAMP VPS

เรียนรู้วิธีการติดตั้ง Directus 6.4 CMS บน CentOS 7; ระบบการจัดการเนื้อหา Headless ที่มีความยืดหยุ่นสูงและปลอดภัย

ตั้งค่า Nginx บน Ubuntu เพื่อสตรีมวิดีโอสด HLS

ตั้งค่า Nginx บน Ubuntu เพื่อสตรีมวิดีโอสด HLS

เรียนรู้วิธีการตั้งค่า Nginx บน Ubuntu สำหรับการสตรีมวิดีโอสด HLS ด้วยคำแนะนำที่ชัดเจนและเป็นประโยชน์

การสำรองข้อมูลยอดนิยมด้วย Percona XtraBackup บนแอพ WordPress แบบคลิกเดียว

การสำรองข้อมูลยอดนิยมด้วย Percona XtraBackup บนแอพ WordPress แบบคลิกเดียว

เรียนรู้การใช้ Percona XtraBackup สำหรับการสำรองข้อมูลด้วยวิธีที่เป็นระบบและง่ายดายบน WordPress ออนไลน์ของคุณ

ReactOS: นี่คืออนาคตของ Windows หรือไม่?

ReactOS: นี่คืออนาคตของ Windows หรือไม่?

ReactOS ซึ่งเป็นโอเพ่นซอร์สและระบบปฏิบัติการฟรีพร้อมเวอร์ชันล่าสุดแล้ว สามารถตอบสนองความต้องการของผู้ใช้ Windows ยุคใหม่และล้ม Microsoft ได้หรือไม่? มาหาข้อมูลเพิ่มเติมเกี่ยวกับรูปแบบเก่านี้ แต่เป็นประสบการณ์ OS ที่ใหม่กว่ากัน

AI สามารถต่อสู้กับการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นได้หรือไม่

AI สามารถต่อสู้กับการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นได้หรือไม่

การโจมตีของ Ransomware กำลังเพิ่มขึ้น แต่ AI สามารถช่วยจัดการกับไวรัสคอมพิวเตอร์ตัวล่าสุดได้หรือไม่? AI คือคำตอบ? อ่านที่นี่รู้ว่า AI boone หรือ bane

เชื่อมต่อผ่าน WhatsApp Desktop App 24*7

เชื่อมต่อผ่าน WhatsApp Desktop App 24*7

ในที่สุด Whatsapp ก็เปิดตัวแอพเดสก์ท็อปสำหรับผู้ใช้ Mac และ Windows ตอนนี้คุณสามารถเข้าถึง Whatsapp จาก Windows หรือ Mac ได้อย่างง่ายดาย ใช้ได้กับ Windows 8+ และ Mac OS 10.9+

AI จะนำกระบวนการอัตโนมัติไปสู่อีกระดับได้อย่างไร

AI จะนำกระบวนการอัตโนมัติไปสู่อีกระดับได้อย่างไร

อ่านข้อมูลนี้เพื่อทราบว่าปัญญาประดิษฐ์กำลังได้รับความนิยมในหมู่บริษัทขนาดเล็กอย่างไร และเพิ่มโอกาสในการทำให้พวกเขาเติบโตและทำให้คู่แข่งได้เปรียบ

การอัปเดตเสริม macOS Catalina 10.15.4 ทำให้เกิดปัญหามากกว่าการแก้ปัญหา

การอัปเดตเสริม macOS Catalina 10.15.4 ทำให้เกิดปัญหามากกว่าการแก้ปัญหา

เมื่อเร็ว ๆ นี้ Apple เปิดตัว macOS Catalina 10.15.4 การอัปเดตเสริมเพื่อแก้ไขปัญหา แต่ดูเหมือนว่าการอัปเดตทำให้เกิดปัญหามากขึ้นที่นำไปสู่การสร้างเครื่อง Mac อ่านบทความนี้เพื่อเรียนรู้เพิ่มเติม

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

13 เครื่องมือดึงข้อมูลเชิงพาณิชย์ของ Big Data

ระบบไฟล์บันทึกคืออะไรและทำงานอย่างไร

ระบบไฟล์บันทึกคืออะไรและทำงานอย่างไร

คอมพิวเตอร์ของเราจัดเก็บข้อมูลทั้งหมดในลักษณะที่เรียกว่าระบบไฟล์บันทึก เป็นวิธีการที่มีประสิทธิภาพที่ช่วยให้คอมพิวเตอร์สามารถค้นหาและแสดงไฟล์ได้ทันทีที่คุณกดค้นหาhttps://wethegeek.com/?p=94116&preview=true