Додайте припинення SSL до HAProxy в Ubuntu 14.04

Ця стаття допоможе вам налаштувати припинення SSL на HAProxy для шифрування трафіку через HTTPS. Ми будемо використовувати самопідписаний сертифікат SSL для нового інтерфейсу. Передбачається, що у вас уже встановлено HAProxy і налаштовано стандартний інтерфейс HTTP.

Вимоги

• Vultr VPS
• HAProxy 1.5
• Ubuntu 14.04 LTS (повинен працювати з іншими версіями та дистрибутивом)

Створення сертифіката та приватного ключа

Виконайте наступні рядки коду, щоб створити закритий ключ і самопідписаний сертифікат, який працюватиме з HAProxy.

openssl genrsa -out /etc/ssl/private/server.key 2048
mkdir /etc/ssl/csr
openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/csr/server.csr
openssl x509 -req -days 365 -in /etc/ssl/csr/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /etc/ssl/certs/server.bundle.pem

Налаштуйте HAProxy

Перше, що ви повинні зробити, це переконатися, що SSLv3 вимкнено. Через атаку POODLE SSLv3 більше не вважається безпечним. Усі програми та сервери мають використовувати TLS 1.0 і вище. Відкрийте файл за допомогою улюбленого текстового редактора /etc/haproxy/haproxy.cfg. Усередині шукайте рядок ssl-default-bind-options no-sslv3під globalрозділом. Якщо ви його не бачите, додайте цей рядок у кінці розділу перед defaultsрозділом. Це гарантує, що SSLv3 буде вимкнено в усьому світі. Ви також можете встановити його у своїх розділах інтерфейсу, але рекомендується вимкнути його глобально.

Перейдіть до налаштування HTTPS. Створіть новий розділ інтерфейсу під назвою web-https.

frontend web-https 
        bind public_ip:443 ssl crt /etc/ssl/certs/server.bundle.pem 
        reqadd X-Forwarded-Proto:\ https 
        rspadd Strict-Transport-Security:\ max-age=31536000 
        default_backend www-backend 

Пояснити:

• bind public_ip:443(зміна public_ipна ваш загальнодоступний IP-адрес VPS) повідомляє HAProxy прослухати будь-який запит, який надсилається на IP-адресу на порту 443(порт HTTPS).
• ssl crt /etc/ssl/certs/server.bundle.pem повідомляє HAProxy використовувати згенерований раніше сертифікат SSL.
• reqadd X-Forwarded-Proto:\ https додає заголовок HTTPS в кінець вхідного запиту.
• rspadd Strict-Transport-Security:\ max-age=31536000 політика безпеки для запобігання атак на пониження.

Вам не потрібно вносити жодних додаткових змін у ваш серверний розділ.

Якщо ви хочете, щоб HAProxy використовував HTTPS за замовчуванням, додайте redirect scheme https if !{ ssl_fc }його на початок www-backendрозділу. Це призведе до примусового переспрямування HTTPS.

Збережіть конфігурацію та запустіть, service haproxy restartщоб перезапустити HAPRoxy. Тепер ви готові використовувати HAProxy з кінцевою точкою SSL.