在Ubuntu 14.04上将SSL终止添加到HAProxy

• 要求
• 生成证书和私钥
• 配置HAProxy

本文将逐步指导您在HAProxy上设置SSL终止，以加密HTTPS上的流量。我们将对新前端使用自签名SSL证书。假定您已经安装了HAProxy并配置了标准的HTTP前端。

要求

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS（应该在其他版本和发行版上工作）

生成证书和私钥

运行以下代码行以生成将与HAProxy一起使用的私钥和自签名证书。

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

配置HAProxy

您应该做的第一件事是确保禁用SSLv3。由于POODLE攻击，SSLv3不再被认为是安全的。所有应用程序和服务器应使用TLS 1.0及更高版本。使用您喜欢的文本编辑器，打开文件/etc/haproxy/haproxy.cfg。在内部，ssl-default-bind-options no-sslv3在该global部分下查找该行。如果看不到，请在本defaults节末尾的该部分之前添加该行。这将确保全局禁用SSLv3。您也可以在前端部分中进行设置，但建议全局将其禁用。

进入HTTPS设置。创建一个名为的新前端部分web-https。

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

解释：

• bind public_ip:443（更改public_ip为VPS公共IP）告诉HAProxy监听发送到端口443（HTTPS端口）上IP地址的任何请求。
• ssl crt /etc/ssl/certs/server.bundle.pem 告诉HAProxy使用先前生成的SSL证书。
• reqadd X-Forwarded-Proto:\ https 将HTTPS标头添加到传入请求的末尾。
• rspadd Strict-Transport-Security:\ max-age=31536000 防止降级攻击的安全策略。

您无需对后端部分进行任何其他更改。

如果希望HAProxy默认使用HTTPS，请添加redirect scheme https if !{ ssl_fc }到本www-backend节的开头。这将强制HTTPS重定向。

保存您的配置并运行service haproxy restart以重新启动HAPRoxy。现在，您都可以将HAProxy与SSL端点一起使用。