![Steam Snap Canonical Akan Membiarkan Anda (Dengan Mudah) Beralih Mesa Stacks](/f/966d8d244695d1c48a27453977c23dc0.jpg?width=100&height=100)
HAProxy adalah proxy terbalik kinerja tinggi yang digunakan secara luas, andal, dan menawarkan ketersediaan tinggi dan kemampuan penyeimbangan beban untuk aplikasi TCP dan HTTP. Secara default, ini dikompilasi dengan OpenSSL, sehingga mendukung SSL penghentian, memungkinkan tumpukan situs web/aplikasi Anda mengenkripsi dan mendekripsi lalu lintas antara “server entri web” atau server gerbang akses aplikasi dan aplikasi klien.
Panduan ini menunjukkan cara mengonfigurasi SSL CA sertifikat dalam HAPorxy. Panduan ini mengasumsikan bahwa Anda telah menerima sertifikat dari CA dan siap untuk menginstal dan mengkonfigurasinya di server HAProxy.
File yang diharapkan adalah:
Sebelum Anda mengonfigurasi CA sertifikat dalam HAProxy, Anda perlu memahami itu HAProxy membutuhkan satu .pem
file yang harus berisi konten semua file di atas, digabung dalam urutan berikut:
.kunci
, (bisa di awal atau di akhir file)..crt
)..ca-bundel
), danUntuk membuat .pem
file, pindah ke direktori yang memiliki file sertifikat Anda mis ~/Unduhan, lalu jalankan perintah kucing seperti ini (ganti nama file yang sesuai):
$ cat example.com.key STAR_example_com/STAR_example_com.crt STAR_example_com/STAR_example_com.ca-bundle > example.com.pem.
Selanjutnya, unggah yang baru saja dibuat .pem
berkas sertifikat ke HAProxy server menggunakan perintah scp seperti yang ditunjukkan (ganti sysadmin dan 192.168.10.24 dengan nama pengguna dan alamat IP server jauh masing-masing):
$scp example.com.pem [dilindungi email]:/home/sysadmin/
Kemudian buat direktori tempat sertifikat .pem
file akan disimpan menggunakan mkdir perintah dan salin file ke dalamnya:
$ sudo mkdir -p /etc/ssl/example.com/ $ sudo cp example.com.pem /etc/ssl/example.com/
Selanjutnya, buka Anda HAProxy file konfigurasi dan konfigurasikan sertifikat di bawah bagian pendengar frontend, menggunakan ssl dan crt parameter: yang pertama mengaktifkan penghentian SSL dan yang terakhir menentukan lokasi file sertifikat.
frontend http_frontend mode http bind *:80 bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 redirect skema https kode 301 if !{ ssl_fc } default_backend http_servers.
Versi tertentu dari SSL/TLS tidak direkomendasikan untuk digunakan sekarang karena kerentanan yang ditemukan di dalamnya. Untuk membatasi versi yang didukung dari SSL, Anda dapat menambahkan ssl-min-ver parameternya seperti ini:
bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2.
Untuk memastikan bahwa situs web Anda hanya dapat diakses melalui HTTPS, Anda harus mengaktifkan HAProxy untuk mengalihkan semua HTTP lalu lintas ke HTTPS jika pengguna mencoba mengaksesnya melalui HTTP (port 80).
Tambahkan baris berikut ke konfigurasi di atas:
skema pengalihan kode https 301 jika !{ ssl_fc } ATAU. http-request skema pengalihan https kecuali { ssl_fc }
Bagian frontend Anda sekarang akan terlihat seperti yang ada di contoh konfigurasi ini:
frontend http_frontend mode http bind *:80 bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 ssl-min-ver skema pengalihan TLSv1.2 https kode 301 jika !{ ssl_fc } default_backend http_servers backend http_servers mode http balance opsi roundrobin httpchk HEAD / http-response set-header X-Frame-Options SAMAORIGIN http-response set-header X-XSS-Protection 1;mode=block http-response set-header X-Content-Type-Options nosniff default-server cek maxconn 5000 server http_server1 10.2.1.55:80.
Simpan file konfigurasi dan tutup.
Kemudian periksa apakah sintaksnya benar menggunakan perintah berikut:
$ sudo haproxy -f /etc/haproxy/haproxy.cfg -c.
Jika file konfigurasi valid, lanjutkan dan muat ulang layanan haproxy untuk mengambil perubahan terbaru dalam konfigurasi, menggunakan perintah systemctl:
$ sudo systemctl memuat ulang haproxy.
Last but not least, uji seluruh pengaturan dengan mengakses situs web Anda dari browser web dan pastikan bahwa sertifikat dimuat dengan baik dan browser menunjukkan bahwa "Koneksi aman”!
Itu saja! Kami harap panduan ini membantu Anda mengonfigurasi sertifikat SSL di perangkat lunak penyeimbang beban HAProxy. Jika Anda menemukan kesalahan, beri tahu kami melalui formulir umpan balik di bawah ini. Kami akan dengan senang hati membantu Anda.