Ubuntu 14.04te HAProxyye SSL Sonlandırma Ekle

• Gereksinimler
• Sertifika ve Özel Anahtar Oluştur
• HAProxy'yi yapılandır

Bu makale, HTTPS üzerinden trafiği şifrelemek için HAProxy'de SSL sonlandırması ayarlayarak size yol gösterecektir. Yeni kullanıcı arabirimi için kendinden imzalı bir SSL sertifikası kullanacağız. Standart bir HTTP ön ucuyla kurulu ve yapılandırılmış HAProxy'nin olduğu varsayılmıştır.

Gereksinimler

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (Diğer sürümlerde ve dağıtımda çalışmalıdır)

Sertifika ve Özel Anahtar Oluştur

Özel bir anahtar ve HAProxy ile çalışacak kendinden imzalı bir sertifika oluşturmak için aşağıdaki kod satırlarını çalıştırın.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

HAProxy'yi yapılandır

Yapmanız gereken ilk şey SSLv3'ün devre dışı bırakıldığından emin olmaktır. POODLE saldırısı nedeniyle SSLv3 artık güvenli kabul edilmiyor. Tüm uygulamalar ve sunucular TLS 1.0 ve üzerini kullanmalıdır. En sevdiğiniz metin düzenleyicisini kullanarak dosyayı açın /etc/haproxy/haproxy.cfg. İçeride, bölümün ssl-default-bind-options no-sslv3altındaki çizgiyi arayın global. Görmüyorsanız, o satırı bölümden önceki bölümün sonuna ekleyin defaults. Bu, SSLv3'ün küresel olarak devre dışı bırakılmasını sağlar. Ayrıca ön uç bölümlerinizin içine de ayarlayabilirsiniz, ancak genel olarak devre dışı bırakmanız önerilir.

HTTPS kurulumuna. Adlı yeni bir kullanıcı arabirimi bölümü oluşturun web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Açıklamak için:

• bind public_ip:443( public_ipVPS genel IP'nizde değişiklik yapın) HAProxy'ye bağlantı noktasındaki ip adresine 443(HTTPS bağlantı noktası) gönderilen tüm istekleri dinlemesini söyler .
• ssl crt /etc/ssl/certs/server.bundle.pem HAProxy'ye daha önce oluşturulan SSL sertifikasını kullanmasını söyler.
• reqadd X-Forwarded-Proto:\ https HTTPS üstbilgisini gelen isteğin sonuna ekler.
• rspadd Strict-Transport-Security:\ max-age=31536000 eski sürüme geçme saldırılarına karşı korunmak için bir güvenlik politikası.

Arka uç bölümünüzde herhangi bir ek değişiklik yapmanız gerekmez.

HAProxy'nin varsayılan olarak HTTPS kullanmasını istiyorsanız bölümün redirect scheme https if !{ ssl_fc }başına ekleyin www-backend. Bu HTTPS yönlendirmesini zorlar.

Yapılandırmanızı kaydedin ve service haproxy restartHAPRoxy'yi yeniden başlatmak için çalıştırın . Artık HAProxy'yi SSL uç noktasıyla kullanmaya hazırsınız.