Hjem » » Tilføj SSL-terminering til HAProxy på Ubuntu 14.04

Tilføj SSL-terminering til HAProxy på Ubuntu 14.04

  • Krav
  • Generer certifikat og privat nøgle
  • Konfigurer HAProxy

    • Denne artikel vil guide dig gennem opsætning af SSL-terminering på HAProxy til kryptering af trafik over HTTPS. Vi vil bruge et selvsigneret SSL-certifikat til ny frontend. Det antages, at du allerede har HAProxy installeret og konfigureret med en standard HTTP-frontend.

    Krav

    • Vultr VPS
    • HAProxy 1.5
    • Ubuntu 14.04 LTS (bør fungere på andre versioner og distribution)

    Generer certifikat og privat nøgle

    Kør følgende kodelinjer for at generere en privat nøgle og et selvsigneret certifikat, der fungerer med HAProxy. 

    openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

    Konfigurer HAProxy

    Den første ting du skal gøre er at sikre dig, at SSLv3 er deaktiveret. På grund af POODLE-angrebet anses SSLv3 ikke længere for at være sikker. Alle applikationer og servere skal bruge TLS 1.0 og nyere. Åbn filen med dit foretrukne tekstredigeringsprogram /etc/haproxy/haproxy.cfg. Indeni skal du se efter linjen ssl-default-bind-options no-sslv3under globalafsnittet. Hvis du ikke kan se det, skal du tilføje den linje i slutningen af ​​afsnittet før defaultsafsnittet. Dette vil sikre, at SSLv3 er deaktiveret globalt. Du kan også indstille det inde i dine frontend-sektioner, men det anbefales at deaktivere det globalt.

    Til HTTPS-opsætningen. Opret en ny frontend-sektion med navnet web-https.

    frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

    At forklare:

    • bind public_ip:443(skift public_iptil din VPS offentlige ip) fortæller HAProxy at lytte til enhver anmodning, der sendes til ip-adressen på porten 443(HTTPS-porten).
    • ssl crt /etc/ssl/certs/server.bundle.pem fortæller HAProxy at bruge det tidligere genererede SSL-certifikat.
    • reqadd X-Forwarded-Proto:\ https tilføjer HTTPS-headeren til slutningen af ​​den indgående anmodning.
    • rspadd Strict-Transport-Security:\ max-age=31536000 en sikkerhedspolitik for at forhindre nedgraderingsangreb.

    Du behøver ikke at foretage yderligere ændringer i din backend-sektion.

    Hvis du ønsker at have HAProxy til at bruge HTTPS som standard, skal du tilføje redirect scheme https if !{ ssl_fc }til begyndelsen af www-backendafsnittet. Dette vil tvinge HTTPS-omdirigering.

    Gem din konfiguration og kør for service haproxy restartat genstarte HAPRoxy. Nu er du klar til at bruge HAProxy med et SSL-slutpunkt.

    Efterlad en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Kunstig intelligens er ikke i fremtiden, det er her lige i nuet I denne blog Læs, hvordan kunstig intelligens-applikationer har påvirket forskellige sektorer.

    DDOS-angreb: et kort overblik

    DDOS-angreb: et kort overblik

    Er du også et offer for DDOS-angreb og forvirret over forebyggelsesmetoderne? Læs denne artikel for at løse dine spørgsmål.

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Du har måske hørt, at hackere tjener mange penge, men har du nogensinde spekuleret på, hvordan tjener de den slags penge? lad os diskutere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Vil du se revolutionerende opfindelser fra Google, og hvordan disse opfindelser ændrede livet for ethvert menneske i dag? Læs derefter til bloggen for at se opfindelser fra Google.

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Konceptet med selvkørende biler til at køre på vejene ved hjælp af kunstig intelligens er en drøm, vi har haft i et stykke tid nu. Men på trods af flere løfter er de ingen steder at se. Læs denne blog for at lære mere...

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Efterhånden som videnskaben udvikler sig i et hurtigt tempo og overtager en stor del af vores indsats, stiger risikoen for at udsætte os selv for en uforklarlig Singularitet. Læs, hvad singularitet kunne betyde for os.

    Funktioner af Big Data Reference Architecture Layers

    Funktioner af Big Data Reference Architecture Layers

    Læs bloggen for at kende forskellige lag i Big Data-arkitekturen og deres funktionaliteter på den enkleste måde.

    Udvikling af datalagring – Infografik

    Udvikling af datalagring – Infografik

    Opbevaringsmetoderne for dataene har været under udvikling, kan være siden fødslen af ​​dataene. Denne blog dækker udviklingen af ​​datalagring på basis af en infografik.

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    I denne digitalt drevne verden er smarte hjemmeenheder blevet en afgørende del af livet. Her er et par fantastiske fordele ved smarte hjemmeenheder om, hvordan de gør vores liv værd at leve og enklere.

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    For nylig udgav Apple macOS Catalina 10.15.4 en supplerende opdatering for at løse problemer, men det ser ud til, at opdateringen forårsager flere problemer, hvilket fører til mursten af ​​mac-maskiner. Læs denne artikel for at lære mere