Добавете SSL прекратяване към HAProxy в Ubuntu 14.04

Тази статия ще ви преведе през настройката на SSL терминиране на HAProxy за криптиране на трафик през HTTPS. Ще използваме самоподписан SSL сертификат за нов интерфейс. Предполага се, че вече имате инсталиран и конфигуриран HAProxy със стандартен HTTP интерфейс.

Изисквания

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (Трябва да работи на други версии и дистрибуция)

Генериране на сертификат и частен ключ

Изпълнете следните редове код, за да генерирате частен ключ и самоподписан сертификат, който ще работи с HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Конфигурирайте HAProxy

Първото нещо, което трябва да направите, е да се уверите, че SSLv3 е деактивиран. Поради атаката на POODLE, SSLv3 вече не се счита за сигурен. Всички приложения и сървъри трябва да използват TLS 1.0 и по-нова версия. Използвайки любимия си текстов редактор, отворете файла /etc/haproxy/haproxy.cfg. Вътре потърсете линията ssl-default-bind-options no-sslv3под globalсекцията. Ако не го виждате, добавете този ред в края на секцията преди defaultsсекцията. Това ще гарантира, че SSLv3 е деактивиран в световен мащаб. Можете също да го зададете във вашите предни секции, но се препоръчва да го деактивирате глобално.

Към настройката на HTTPS. Създайте нов фронтенд раздел с име web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Да обясни:

• bind public_ip:443(промяна public_ipна вашия публичен IP адрес на VPS) казва на HAProxy да слуша всяка заявка, която се изпраща до ip адреса на порта 443( HTTPS порта).
• ssl crt /etc/ssl/certs/server.bundle.pem казва на HAProxy да използва предварително генерирания SSL сертификат.
• reqadd X-Forwarded-Proto:\ https добавя HTTPS заглавката към края на входящата заявка.
• rspadd Strict-Transport-Security:\ max-age=31536000 политика за сигурност за предотвратяване на атаки с понижение.

Не е необходимо да правите никакви допълнителни промени във вашия бекенд раздел.

Ако искате HAProxy да използва HTTPS по подразбиране, добавете redirect scheme https if !{ ssl_fc }в началото на www-backendраздела. Това ще принуди HTTPS пренасочване.

Запазете конфигурацията си и стартирайте, за service haproxy restartда рестартирате HAPRoxy. Вече сте готови да използвате HAProxy с SSL крайна точка.