Pridėkite SSL nutraukimą prie HAProxy Ubuntu 14.04

Šiame straipsnyje bus paaiškinta, kaip nustatyti SSL nutraukimą naudojant HAProxy, kad būtų galima šifruoti srautą per HTTPS. Naujai sąsajai naudosime savarankiškai pasirašytą SSL sertifikatą. Daroma prielaida, kad jau turite įdiegtą HAProxy ir sukonfigūruotą standartinę HTTP sąsają.

Reikalavimai

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (turėtų veikti su kitomis versijomis ir platinimu)

Sukurkite sertifikatą ir privatų raktą

Vykdykite šias kodo eilutes, kad sugeneruotumėte privatų raktą ir savarankiškai pasirašytą sertifikatą, kuris veiks su HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Konfigūruokite HAProxy

Pirmas dalykas, kurį turėtumėte padaryti, yra įsitikinti, kad SSLv3 yra išjungtas. Dėl POODLE atakos SSLv3 nebelaikomas saugiu. Visos programos ir serveriai turi naudoti TLS 1.0 ir naujesnę versiją. Naudodami mėgstamą teksto rengyklę atidarykite failą /etc/haproxy/haproxy.cfg. Viduje ieškokite eilutės ssl-default-bind-options no-sslv3po globalskyriumi. Jei jos nematote, pridėkite šią eilutę skyriaus pabaigoje prieš defaultsskyrių. Tai užtikrins, kad SSLv3 būtų išjungtas visame pasaulyje. Taip pat galite jį nustatyti savo sąsajos skyriuose, tačiau rekomenduojama jį išjungti visame pasaulyje.

Į HTTPS sąranką. Sukurkite naują sąsajos skyrių pavadinimu web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Paaiškinti:

• bind public_ip:443(pakeisti public_ipį viešąjį VPS IP) nurodo HAProxy klausytis bet kokios užklausos, siunčiamos į prievado IP adresą 443(HTTPS prievadą).
• ssl crt /etc/ssl/certs/server.bundle.pem nurodo HAProxy naudoti anksčiau sugeneruotą SSL sertifikatą.
• reqadd X-Forwarded-Proto:\ https prideda HTTPS antraštę į gaunamos užklausos pabaigą.
• rspadd Strict-Transport-Security:\ max-age=31536000 saugumo politika, skirta apsisaugoti nuo pažeminimo atakų.

Jums nereikia atlikti jokių papildomų backend skilties pakeitimų.

Jei norite, kad HAProxy naudotų HTTPS pagal numatytuosius nustatymus, pridėkite redirect scheme https if !{ ssl_fc }prie www-backendskyriaus pradžios . Tai privers peradresuoti HTTPS.

Išsaugokite konfigūraciją ir paleiskite, service haproxy restartkad paleistumėte HAPRoxy iš naujo. Dabar esate pasiruošę naudoti HAProxy su SSL galutiniu tašku.