Home » » Thêm chấm dứt SSL vào HAProxy trên Ubuntu 14.04

Thêm chấm dứt SSL vào HAProxy trên Ubuntu 14.04

Bài viết này sẽ hướng dẫn bạn cách thiết lập chấm dứt SSL trên HAProxy, để mã hóa lưu lượng truy cập qua HTTPS. Chúng tôi sẽ sử dụng chứng chỉ SSL tự ký cho lối vào mới. Giả định rằng bạn đã cài đặt và cấu hình HAProxy với giao diện HTTP tiêu chuẩn.

Yêu cầu

  • Vultr VPS
  • HAProxy 1.5
  • Ubuntu 14.04 LTS (Nên hoạt động trên các phiên bản và phân phối khác)

Tạo chứng chỉ và khóa riêng

Chạy các dòng mã sau để tạo khóa riêng và chứng chỉ tự ký sẽ hoạt động với HAProxy. 

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Cấu hình HAProxy

Điều đầu tiên mà bạn nên làm là đảm bảo rằng SSLv3 bị vô hiệu hóa. Do cuộc tấn công POODLE, SSLv3 không còn được coi là an toàn. Tất cả các ứng dụng và máy chủ nên sử dụng TLS 1.0 trở lên. Sử dụng trình soạn thảo văn bản yêu thích của bạn, mở tệp /etc/haproxy/haproxy.cfg. Bên trong, tìm kiếm các dòng ssl-default-bind-options no-sslv3dưới globalphần. Nếu bạn không nhìn thấy nó, hãy thêm dòng đó vào cuối phần trước defaultsphần. Điều này sẽ đảm bảo rằng SSLv3 bị vô hiệu hóa trên toàn cầu. Bạn cũng có thể đặt nó bên trong các phần frontend của bạn, nhưng bạn nên tắt nó trên toàn cầu.

Lên cài đặt HTTPS. Tạo một phần lối vào mới có tên web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

Giải thích:

  • bind public_ip:443(thay đổi public_ipip công khai VPS của bạn) yêu cầu HAProxy lắng nghe mọi yêu cầu được gửi đến địa chỉ ip trên cổng 443(cổng HTTPS).
  • ssl crt /etc/ssl/certs/server.bundle.pem báo cho HAProxy sử dụng chứng chỉ SSL được tạo trước đó.
  • reqadd X-Forwarded-Proto:\ https thêm tiêu đề HTTPS vào cuối yêu cầu đến.
  • rspadd Strict-Transport-Security:\ max-age=31536000 một chính sách bảo mật để ngăn chặn các cuộc tấn công hạ cấp.

Bạn không cần thực hiện bất kỳ thay đổi bổ sung nào cho phần phụ trợ của mình.

Nếu bạn muốn có HAProxy theo mặc định, hãy sử dụng HTTPS, thêm redirect scheme https if !{ ssl_fc }vào đầu www-backendphần. Điều này sẽ buộc chuyển hướng HTTPS.

Lưu cấu hình của bạn và chạy service haproxy restartđể khởi động lại HAPRoxy. Bây giờ bạn đã sẵn sàng sử dụng HAProxy với điểm cuối SSL.


Tags: #Linux Guides #Ubuntu #Web Servers

Leave a Comment

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Cách cài đặt SuiteCRM trên Ubuntu 16.04

Hướng dẫn cài đặt SuiteCRM, một giải pháp CRM mã nguồn mở, trên Ubuntu 16.04 với các bước chi tiết và dễ hiểu.

ReactOS: Đây có phải là tương lai của Windows?

ReactOS: Đây có phải là tương lai của Windows?

ReactOS, một hệ điều hành mã nguồn mở và miễn phí đã có phiên bản mới nhất. Liệu nó có thể đáp ứng đủ nhu cầu của người dùng Windows hiện đại và hạ gục Microsoft? Hãy cùng tìm hiểu thêm về trải nghiệm hệ điều hành kiểu cũ nhưng mới hơn này.

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Liệu AI có thể chiến đấu với số lượng các cuộc tấn công bằng Ransomware ngày càng tăng

Các cuộc tấn công ransomware đang gia tăng, nhưng liệu AI có thể giúp đối phó với loại virus máy tính mới nhất? AI có phải là câu trả lời? Đọc ở đây biết là AI boone hay cấm

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Luôn kết nối thông qua Ứng dụng WhatsApp Desktop 24 * 7

Whatsapp cuối cùng đã ra mắt ứng dụng Máy tính để bàn cho người dùng Mac và Windows. Giờ đây, bạn có thể truy cập Whatsapp từ Windows hoặc Mac một cách dễ dàng. Có sẵn cho Windows 8+ và Mac OS 10.9+

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Làm thế nào AI có thể đưa quá trình tự động hóa lên cấp độ tiếp theo?

Hãy đọc phần này để biết Trí tuệ nhân tạo đang trở nên phổ biến như thế nào đối với các công ty quy mô nhỏ và làm thế nào nó đang tăng khả năng khiến họ phát triển và giúp đối thủ cạnh tranh của họ có thể cạnh tranh.

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Bản cập nhật bổ sung macOS Catalina 10.15.4 đang gây ra nhiều vấn đề hơn là giải quyết

Gần đây Apple đã phát hành macOS Catalina 10.15.4 một bản cập nhật bổ sung để khắc phục các sự cố nhưng có vẻ như bản cập nhật đang gây ra nhiều vấn đề hơn dẫn đến việc máy mac bị chai. Đọc bài viết này để tìm hiểu thêm

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

13 Công cụ trích xuất dữ liệu thương mại của Dữ liệu lớn

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Hệ thống tệp nhật ký là gì và nó hoạt động như thế nào?

Máy tính của chúng tôi lưu trữ tất cả dữ liệu một cách có tổ chức được gọi là hệ thống tệp Ghi nhật ký. Đây là một phương pháp hiệu quả cho phép máy tính tìm kiếm và hiển thị các tệp ngay khi bạn nhấn tìm kiếm. Https://wethegeek.com/? P = 94116 & preview = true

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Điểm kỳ dị về công nghệ: Tương lai xa của nền văn minh nhân loại?

Khi Khoa học phát triển với tốc độ nhanh chóng, chiếm rất nhiều nỗ lực của chúng ta, những rủi ro của việc phục tùng bản thân trước một Điểm kỳ dị không thể giải thích cũng tăng lên. Hãy đọc, điểm kỳ dị có thể có ý nghĩa gì đối với chúng ta.

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1

Hiểu rõ hơn về 26 kỹ thuật phân tích dữ liệu lớn: Phần 1