Pridajte ukončenie SSL do HAProxy na Ubuntu 14.04

Tento článok vás prevedie nastavením ukončenia SSL na HAProxy na šifrovanie prenosu cez HTTPS. Pre nový frontend budeme používať SSL certifikát s vlastným podpisom. Predpokladá sa, že už máte nainštalovaný HAProxy a nakonfigurovaný so štandardným HTTP frontendom.

Požiadavky

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (malo by fungovať na iných verziách a distribúcii)

Vygenerujte certifikát a súkromný kľúč

Spustite nasledujúce riadky kódu na vygenerovanie súkromného kľúča a certifikátu s vlastným podpisom, ktorý bude fungovať s HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Nakonfigurujte HAProxy

Prvá vec, ktorú by ste mali urobiť, je uistiť sa, že SSLv3 je vypnutý. Kvôli útoku POODLE sa SSLv3 už nepovažuje za bezpečný. Všetky aplikácie a servery by mali používať TLS 1.0 a vyššie. Pomocou svojho obľúbeného textového editora otvorte súbor /etc/haproxy/haproxy.cfg. Vnútri hľadajte čiaru ssl-default-bind-options no-sslv3pod globalsekciou. Ak ho nevidíte, pridajte tento riadok na koniec sekcie pred defaultssekciu. Tým sa zabezpečí, že protokol SSLv3 bude deaktivovaný globálne. Môžete to nastaviť aj vo svojich klientskych sekciách, ale odporúča sa to globálne zakázať.

Na nastavenie HTTPS. Vytvorte novú sekciu frontendu s názvom web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Vysvetliť:

• bind public_ip:443(zmena public_ipna vašu VPS verejnú ip) povie HAProxy, aby si vypočula akúkoľvek požiadavku odoslanú na IP adresu na porte 443(port HTTPS).
• ssl crt /etc/ssl/certs/server.bundle.pem povie HAProxy, aby použila predtým vygenerovaný certifikát SSL.
• reqadd X-Forwarded-Proto:\ https pridá hlavičku HTTPS na koniec prichádzajúcej požiadavky.
• rspadd Strict-Transport-Security:\ max-age=31536000 bezpečnostnú politiku, ktorá zabráni útokom na zníženie verzie.

V sekcii backendu nemusíte robiť žiadne ďalšie zmeny.

Ak chcete, aby HAProxy štandardne používalo HTTPS, pridajte redirect scheme https if !{ ssl_fc }na začiatok www-backendsekcie. Toto vynúti presmerovanie HTTPS.

Uložte svoju konfiguráciu a spustite service haproxy restartreštart HAPRoxy. Teraz ste pripravení používať HAProxy s koncovým bodom SSL.