Lisää SSL-terminointi Ubuntu 14.04:n HAProxyyn

Tämä artikkeli opastaa sinua määrittämään SSL-päätteen HAProxyssa liikenteen salaamiseksi HTTPS:n kautta. Käytämme itse allekirjoitettua SSL-varmennetta uudessa käyttöliittymässä. Oletetaan, että sinulla on jo HAProxy asennettuna ja määritetty tavallisella HTTP-käyttöliittymällä.

Vaatimukset

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (Pitäisi toimia muissa versioissa ja jakelussa)

Luo varmenne ja yksityinen avain

Suorita seuraavat koodirivit luodaksesi yksityinen avain ja itseallekirjoitettu varmenne, joka toimii HAProxyn kanssa.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Määritä HAProxy

Ensimmäinen asia, joka sinun tulee tehdä, on varmistaa, että SSLv3 on poistettu käytöstä. POODLE-hyökkäyksen vuoksi SSLv3:a ei pidetä enää turvallisena. Kaikkien sovellusten ja palvelimien tulee käyttää TLS 1.0:aa tai uudempaa. Avaa tiedosto suosikkitekstieditorillasi /etc/haproxy/haproxy.cfg. Etsi sisällä olevaa riviä osion ssl-default-bind-options no-sslv3alta global. Jos et näe sitä, lisää se osion loppuun ennen defaultsosaa. Tämä varmistaa, että SSLv3 on poistettu käytöstä maailmanlaajuisesti. Voit määrittää sen myös käyttöliittymäosioissa, mutta on suositeltavaa poistaa se käytöstä maailmanlaajuisesti.

Siirry HTTPS-asetuksiin. Luo uusi käyttöliittymäosio nimeltä web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Selittää:

• bind public_ip:443(vaihda public_ipVPS:n julkiseen IP-osoitteeseen) käskee HAProxya kuuntelemaan kaikki pyynnöt, jotka lähetetään portin IP-osoitteeseen 443(HTTPS-portti).
• ssl crt /etc/ssl/certs/server.bundle.pem käskee HAProxya käyttämään aiemmin luotua SSL-varmennetta.
• reqadd X-Forwarded-Proto:\ https lisää HTTPS-otsikon saapuvan pyynnön loppuun.
• rspadd Strict-Transport-Security:\ max-age=31536000 suojauskäytäntö, jolla estetään alenevia hyökkäyksiä vastaan.

Sinun ei tarvitse tehdä lisämuutoksia taustaosaosi.

Jos haluat olla HAProxy käyttää HTTPS oletuksena, lisää redirect scheme https if !{ ssl_fc }sen alkuun www-backendosassa. Tämä pakottaa HTTPS-uudelleenohjauksen.

Tallenna määritykset ja service haproxy restartkäynnistä HAPRoxy uudelleen suorittamalla. Nyt olet valmis käyttämään HAProxya SSL-päätepisteen kanssa.