Pievienojiet SSL pārtraukšanu HAProxy Ubuntu 14.04

Šajā rakstā ir sniegti norādījumi par SSL pārtraukšanas iestatīšanu HAProxy, lai šifrētu trafiku, izmantojot HTTPS. Mēs izmantosim pašparakstītu SSL sertifikātu jaunai priekšgalam. Tiek pieņemts, ka HAProxy jau ir instalēts un konfigurēts ar standarta HTTP priekšgalu.

Prasības

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (vajadzētu darboties ar citām versijām un izplatīšanu)

Izveidojiet sertifikātu un privāto atslēgu

Palaidiet tālāk norādītās koda rindiņas, lai ģenerētu privāto atslēgu un pašparakstītu sertifikātu, kas darbosies ar HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Konfigurējiet HAProxy

Pirmā lieta, kas jums jādara, ir pārliecināties, vai SSLv3 ir atspējots. POODLE uzbrukuma dēļ SSLv3 vairs netiek uzskatīts par drošu. Visām lietojumprogrammām un serveriem ir jāizmanto TLS 1.0 un jaunāka versija. Izmantojot savu iecienītāko teksta redaktoru, atveriet failu /etc/haproxy/haproxy.cfg. Iekšpusē meklējiet līniju ssl-default-bind-options no-sslv3zem globalsadaļas. Ja jūs to neredzat, pievienojiet šo rindiņu sadaļas beigās pirms defaultssadaļas. Tas nodrošinās SSLv3 atspējošanu visā pasaulē. Varat arī iestatīt to priekšgala sadaļās, taču ieteicams to atspējot globāli.

Pārejiet uz HTTPS iestatīšanu. Izveidojiet jaunu priekšgala sadaļu ar nosaukumu web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Izskaidrot:

• bind public_ip:443(mainiet public_ipuz savu VPS publisko IP) liek HAProxy noklausīties visus pieprasījumus, kas tiek nosūtīti uz porta IP adresi 443(HTTPS ports).
• ssl crt /etc/ssl/certs/server.bundle.pem liek HAProxy izmantot iepriekš ģenerēto SSL sertifikātu.
• reqadd X-Forwarded-Proto:\ https pievieno HTTPS galveni ienākošā pieprasījuma beigām.
• rspadd Strict-Transport-Security:\ max-age=31536000 drošības politika, lai novērstu pazemināšanas uzbrukumus.

Jums nav jāveic nekādas papildu izmaiņas jūsu aizmugursistēmas sadaļā.

Ja vēlaties, lai HAProxy pēc noklusējuma izmantotu HTTPS, pievienojiet sadaļas redirect scheme https if !{ ssl_fc }sākumam www-backend. Tas piespiedīs HTTPS novirzīšanu.

Saglabājiet konfigurāciju un palaidiet, service haproxy restartlai restartētu HAPRoxy. Tagad esat gatavs izmantot HAProxy ar SSL galapunktu.