Domov » » Dodajte zaključek SSL v HAProxy v Ubuntu 14.04

Dodajte zaključek SSL v HAProxy v Ubuntu 14.04

  • Zahteve
  • Ustvarite potrdilo in zasebni ključ
  • Konfigurirajte HAProxy

    • Ta članek vas bo vodil skozi nastavitev zaključka SSL na HAProxy za šifriranje prometa prek HTTPS. Za novo sprednjo stran bomo uporabljali samopodpisano potrdilo SSL. Predpostavlja se, da že imate nameščen in konfiguriran HAProxy s standardnim vmesnikom HTTP.

    Zahteve

    • Vultr VPS
    • HAProxy 1.5
    • Ubuntu 14.04 LTS (mora delovati na drugih različicah in distribuciji)

    Ustvarite potrdilo in zasebni ključ

    Zaženite naslednje vrstice kode, da ustvarite zasebni ključ in samopodpisano potrdilo, ki bo delovalo s HAProxy. 

    openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

    Konfigurirajte HAProxy

    Prva stvar, ki jo morate storiti, je zagotoviti, da je SSLv3 onemogočen. Zaradi napada POODLE se SSLv3 ne šteje več za varnega. Vse aplikacije in strežniki morajo uporabljati TLS 1.0 in novejše. S svojim najljubšim urejevalnikom besedil odprite datoteko /etc/haproxy/haproxy.cfg. V notranjosti poiščite črto ssl-default-bind-options no-sslv3pod globalrazdelkom. Če ga ne vidite, dodajte to vrstico na konec razdelka pred defaultsrazdelkom. To bo zagotovilo, da bo SSLv3 onemogočen globalno. Nastavite ga lahko tudi v svojih odsekih sprednjega dela, vendar je priporočljivo, da ga onemogočite globalno.

    Na nastavitev HTTPS. Ustvarite nov odsek sprednjega dela z imenom web-https.

    frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

    Razložiti:

    • bind public_ip:443(spremeni public_ipna vaš javni IP VPS) pove HAProxy, naj posluša vsako zahtevo, ki je poslana na naslov IP na vratih 443(vrata HTTPS).
    • ssl crt /etc/ssl/certs/server.bundle.pem pove HAProxy, naj uporabi predhodno ustvarjeno potrdilo SSL.
    • reqadd X-Forwarded-Proto:\ https doda glavo HTTPS na konec dohodne zahteve.
    • rspadd Strict-Transport-Security:\ max-age=31536000 varnostna politika za preprečevanje napadov na nižjo različico.

    Ni vam treba narediti nobenih dodatnih sprememb v zalednem delu.

    Če želite, da HAProxy privzeto uporablja HTTPS, dodajte redirect scheme https if !{ ssl_fc }na začetek www-backendrazdelka. To bo prisililo preusmeritev HTTPS.

    Shranite konfiguracijo in zaženite, service haproxy restartda znova zaženete HAPRoxy. Zdaj ste pripravljeni za uporabo HAProxy s končno točko SSL.

    Pusti komentar

    Vzpon strojev: aplikacije AI v resničnem svetu

    Vzpon strojev: aplikacije AI v resničnem svetu

    Umetna inteligenca ni v prihodnosti, tukaj je prav v sedanjosti. V tem blogu preberite, kako so aplikacije umetne inteligence vplivale na različne sektorje.

    DDOS napadi: kratek pregled

    DDOS napadi: kratek pregled

    Ste tudi vi žrtev DDOS napadov in ste zmedeni glede načinov preprečevanja? Preberite ta članek, če želite rešiti svoja vprašanja.

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Morda ste že slišali, da hekerji zaslužijo veliko denarja, a ste se kdaj vprašali, kako zaslužijo takšen denar? razpravljajmo.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Ali želite videti revolucionarne izume Googla in kako so ti izumi danes spremenili življenje vsakega človeka? Nato preberite v blogu in si oglejte Googlove izume.

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Koncept samovozečih avtomobilov, ki zapeljejo na ceste s pomočjo umetne inteligence, so sanje, ki jih imamo že nekaj časa. A kljub številnim obljubam jih ni nikjer. Preberite ta blog, če želite izvedeti več…

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Ker se znanost hitro razvija in prevzame veliko naših prizadevanj, se povečuje tudi tveganje, da se podvržemo nerazložljivi singularnosti. Preberite, kaj bi za nas lahko pomenila singularnost.

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Preberite blog, če želite na najpreprostejši način spoznati različne plasti v arhitekturi velikih podatkov in njihove funkcionalnosti.

    Razvoj shranjevanja podatkov – Infografika

    Razvoj shranjevanja podatkov – Infografika

    Metode shranjevanja podatkov so se lahko razvijale od rojstva podatkov. Ta blog pokriva razvoj shranjevanja podatkov na podlagi infografike.

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    V tem digitalno vodenem svetu so pametne naprave za dom postale ključni del življenja. Tukaj je nekaj neverjetnih prednosti pametnih naprav za dom o tem, kako naredijo naše življenje vredno življenja in poenostavijo.

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Pred kratkim je Apple izdal macOS Catalina 10.15.4 dopolnilno posodobitev za odpravo težav, vendar se zdi, da posodobitev povzroča več težav, ki vodijo do opečenja računalnikov Mac. Preberite ta članek, če želite izvedeti več