Hem » » Lägg till SSL-terminering till HAProxy på Ubuntu 14.04

Lägg till SSL-terminering till HAProxy på Ubuntu 14.04

  • Krav
  • Generera certifikat och privat nyckel
  • Konfigurera HAProxy

    • Den här artikeln går igenom hur du ställer in SSL-avslutning på HAProxy för att kryptera trafik över HTTPS. Vi kommer att använda ett självsignerat SSL-certifikat för nya frontend. Det antas att du redan har HAProxy installerat och konfigurerat med ett standard HTTP-gränssnitt.

    Krav

    • Vultr VPS
    • HAProxy 1.5
    • Ubuntu 14.04 LTS (bör fungera på andra versioner och distribution)

    Generera certifikat och privat nyckel

    Kör följande kodrader för att generera en privat nyckel och ett självsignerat certifikat som fungerar med HAProxy. 

    openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

    Konfigurera HAProxy

    Det första du bör göra är att se till att SSLv3 är inaktiverat. På grund av POODLE-attacken anses SSLv3 inte längre vara säker. Alla applikationer och servrar bör använda TLS 1.0 och senare. Öppna filen med din favorittextredigerare /etc/haproxy/haproxy.cfg. Inuti, leta efter linjen ssl-default-bind-options no-sslv3under globalavsnittet. Om du inte ser det, lägg till den raden i slutet av avsnittet före defaultsavsnittet. Detta kommer att säkerställa att SSLv3 är inaktiverat globalt. Du kan också ställa in den i dina frontendsektioner, men det rekommenderas att inaktivera den globalt.

    Till HTTPS-inställningen. Skapa ett nytt gränssnitt med namnet web-https.

    frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend

    Att förklara:

    • bind public_ip:443(ändra public_iptill din VPS offentliga ip) säger till HAProxy att lyssna på alla förfrågningar som skickas till ip-adressen på porten 443(HTTPS-porten).
    • ssl crt /etc/ssl/certs/server.bundle.pem säger till HAProxy att använda det tidigare genererade SSL-certifikatet.
    • reqadd X-Forwarded-Proto:\ https lägger till HTTPS-huvudet i slutet av den inkommande begäran.
    • rspadd Strict-Transport-Security:\ max-age=31536000 en säkerhetspolicy för att förhindra nedgraderingsattacker.

    Du behöver inte göra några ytterligare ändringar i din backend-sektion.

    Om du vill att HAProxy ska använda HTTPS som standard, lägg redirect scheme https if !{ ssl_fc }till i början av www-backendavsnittet. Detta kommer att tvinga fram HTTPS-omdirigering.

    Spara din konfiguration och kör för service haproxy restartatt starta om HAPRoxy. Nu är du redo att använda HAProxy med en SSL-slutpunkt.

    Lämna en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Artificiell intelligens är inte i framtiden, det är här i nuet I den här bloggen Läs hur Artificiell intelligens-applikationer har påverkat olika sektorer.

    DDOS-attacker: En kort översikt

    DDOS-attacker: En kort översikt

    Är du också ett offer för DDOS-attacker och förvirrad över de förebyggande metoderna? Läs den här artikeln för att lösa dina frågor.

    Har du någonsin undrat hur hackare tjänar pengar?

    Har du någonsin undrat hur hackare tjänar pengar?

    Du kanske har hört att hackare tjänar mycket pengar, men har du någonsin undrat hur de tjänar den typen av pengar? låt oss diskutera.

    Revolutionerande uppfinningar från Google som gör ditt liv lätt.

    Revolutionerande uppfinningar från Google som gör ditt liv lätt.

    Vill du se revolutionerande uppfinningar av Google och hur dessa uppfinningar förändrade livet för varje människa idag? Läs sedan till bloggen för att se uppfinningar av Google.

    Fredag ​​Essential: Vad hände med AI-drivna bilar?

    Fredag ​​Essential: Vad hände med AI-drivna bilar?

    Konceptet med att självkörande bilar ska ut på vägarna med hjälp av artificiell intelligens är en dröm vi har ett tag nu. Men trots flera löften finns de ingenstans att se. Läs den här bloggen för att lära dig mer...

    Technological Singularity: A Distant Future of Human Civilization?

    Technological Singularity: A Distant Future of Human Civilization?

    När vetenskapen utvecklas i snabb takt och tar över en hel del av våra ansträngningar, ökar också riskerna för att utsätta oss för en oförklarlig singularitet. Läs, vad singularitet kan betyda för oss.

    Funktioner för Big Data Reference Architecture Layers

    Funktioner för Big Data Reference Architecture Layers

    Läs bloggen för att känna till olika lager i Big Data Architecture och deras funktionaliteter på enklaste sätt.

    Utveckling av datalagring – Infographic

    Utveckling av datalagring – Infographic

    Lagringsmetoderna för data har utvecklats kan vara sedan födelsen av data. Den här bloggen tar upp utvecklingen av datalagring på basis av en infografik.

    6 fantastiska fördelar med att ha smarta hemenheter i våra liv

    6 fantastiska fördelar med att ha smarta hemenheter i våra liv

    I denna digitala värld har smarta hemenheter blivit en avgörande del av livet. Här är några fantastiska fördelar med smarta hemenheter om hur de gör vårt liv värt att leva och enklare.

    macOS Catalina 10.15.4 tilläggsuppdatering orsakar fler problem än att lösa

    macOS Catalina 10.15.4 tilläggsuppdatering orsakar fler problem än att lösa

    Nyligen släppte Apple macOS Catalina 10.15.4, en tilläggsuppdatering för att åtgärda problem, men det verkar som om uppdateringen orsakar fler problem som leder till att mac-datorer blir murade. Läs den här artikeln för att lära dig mer