Hjem » » Legg til SSL-terminering til HAProxy på Ubuntu 14.04

Legg til SSL-terminering til HAProxy på Ubuntu 14.04

  • Krav
  • Generer sertifikat og privat nøkkel
  • Konfigurer HAProxy

    • Denne artikkelen vil lede deg gjennom å sette opp SSL-terminering på HAProxy, for kryptering av trafikk over HTTPS. Vi vil bruke et selvsignert SSL-sertifikat for ny frontend. Det antas at du allerede har HAProxy installert og konfigurert med en standard HTTP-grensesnitt.

    Krav

    • Vultr VPS
    • HAProxy 1.5
    • Ubuntu 14.04 LTS (Skal fungere på andre versjoner og distribusjon)

    Generer sertifikat og privat nøkkel

    Kjør følgende kodelinjer for å generere en privat nøkkel og et selvsignert sertifikat som fungerer med HAProxy. 

    openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

    Konfigurer HAProxy

    Det første du bør gjøre er å sørge for at SSLv3 er deaktivert. På grunn av POODLE-angrepet anses ikke SSLv3 lenger som sikkert. Alle applikasjoner og servere skal bruke TLS 1.0 og nyere. Åpne filen ved å bruke favoritttekstredigeringsprogrammet /etc/haproxy/haproxy.cfg. På innsiden, se etter linjen ssl-default-bind-options no-sslv3under globalseksjonen. Hvis du ikke ser det, legg til den linjen på slutten av delen før defaultsdelen. Dette vil sikre at SSLv3 er deaktivert globalt. Du kan også sette den i frontend-delene dine, men det anbefales å deaktivere den globalt.

    Gå til HTTPS-oppsettet. Opprett en ny grensesnittseksjon kalt web-https.

    frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

    Å forklare:

    • bind public_ip:443(endre public_iptil din VPS offentlige ip) forteller HAProxy å lytte til enhver forespørsel som sendes til ip-adressen på porten 443(HTTPS-porten).
    • ssl crt /etc/ssl/certs/server.bundle.pem ber HAProxy om å bruke SSL-sertifikatet som er generert tidligere.
    • reqadd X-Forwarded-Proto:\ https legger til HTTPS-overskriften på slutten av den innkommende forespørselen.
    • rspadd Strict-Transport-Security:\ max-age=31536000 en sikkerhetspolicy for å forhindre nedgraderingsangrep.

    Du trenger ikke gjøre noen ekstra endringer i backend-delen.

    Hvis du ønsker å ha HAProxy til å bruke HTTPS som standard, legg redirect scheme https if !{ ssl_fc }til i begynnelsen av www-backenddelen. Dette vil tvinge frem HTTPS-omdirigering.

    Lagre konfigurasjonen og kjør for service haproxy restartå starte HAPRoxy på nytt. Nå er du klar til å bruke HAProxy med et SSL-endepunkt.

    Legg igjen en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.

    DDOS-angrep: en kort oversikt

    DDOS-angrep: en kort oversikt

    Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.

    Har du noen gang lurt på hvordan hackere tjener penger?

    Har du noen gang lurt på hvordan hackere tjener penger?

    Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.

    Revolusjonerende oppfinnelser fra Google som vil gjøre livet ditt enkelt.

    Revolusjonerende oppfinnelser fra Google som vil gjøre livet ditt enkelt.

    Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.

    Fredag ​​Essential: Hva skjedde med AI-drevne biler?

    Fredag ​​Essential: Hva skjedde med AI-drevne biler?

    Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...

    Teknologisk singularitet: en fjern fremtid for menneskelig sivilisasjon?

    Teknologisk singularitet: en fjern fremtid for menneskelig sivilisasjon?

    Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.

    Funksjonaliteter til Big Data Reference Architecture Layers

    Funksjonaliteter til Big Data Reference Architecture Layers

    Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.

    Evolusjon av datalagring – infografikk

    Evolusjon av datalagring – infografikk

    Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.

    6 fantastiske fordeler ved å ha smarte hjemmeenheter i livene våre

    6 fantastiske fordeler ved å ha smarte hjemmeenheter i livene våre

    I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.

    macOS Catalina 10.15.4 tilleggsoppdatering forårsaker flere problemer enn å løse

    macOS Catalina 10.15.4 tilleggsoppdatering forårsaker flere problemer enn å løse

    Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer