Když máte své webové stránky v provozu, existují klíčové věci, na kterých musíte zapracovat, abyste zajistili bezpečnost, dostupnost a spolehlivost. První věcí je nakonfigurovat load balancer a HAProxy se ukázalo jako spolehlivá volba. HAProxy zpracovává vyrovnávání zátěže a zároveň funguje jako reverzní proxy. I se zavedeným HAProxy musíte stále zabezpečit provoz šifrováním transakcí pomocí HTTPS. Svůj webový server můžete rychle zabezpečit pomocí šifrování SSL/TLS. Tímto způsobem jsou data mezi vaším serverem a klientskými zařízeními přenášena bezpečně a je dosaženo integrity dat. Čtěte dále, abyste pochopili, jak zabezpečit HAProxy pomocí SSL.
Jak funguje šifrování SSL?
Díky možnostem, jako je Let’s Encrypt, nyní můžete zdarma získat certifikát SSL/TLS pro šifrování vašeho webu. Let’s Encrypt je bezplatná otevřená certifikační autorita, která poskytuje bezplatné certifikáty SSL/TLS s 90denní platností pro živé domény. S těmito certifikáty je váš webový provoz mezi serverem a klientem odesílán jako HTTPS. Tímto způsobem hackeři nemohou odposlouchávat provoz a manipulovat s integritou sdílených dat.
Let’s Encrypt kromě toho, že je zdarma, podporuje také automatizaci. Certifikát SSL/TLS, který obdržíte, se automaticky obnovuje každých 90 dní. Proto můžete mít skript, který spustí obnovu a aktualizuje vaše HAProxy každých 90 dní. Certifikáty Let’s Encrypt jsou navíc kompatibilní se všemi prohlížeči a operačními systémy, což zajišťuje jejich bezproblémové použití k zabezpečení vašeho HAProxy.
Průvodce krok za krokem, jak zabezpečit HAProxy pomocí SSL
Zatím víme, co certifikát SSL/TLS dělá a proč jej pro svůj web potřebujete. Navíc jsme diskutovali o tom, jak jej můžete získat. Posledním krokem je sdílení kroků k zabezpečení HAProxy pomocí SSL.
Než začneme, ujistěte se, že máte živou a platnou doménu spojenou s cílovým webovým serverem, který používáte s HAProxy. Jakmile budete připraveni, postupujte podle následujících kroků:
Krok 1: Aktualizujte úložiště
Aktualizace systému zajistí, že získáte nejnovější zdroj pro balíčky, které chcete nainstalovat.
$ sudo apt aktualizace
Krok 2: Nainstalujte HAProxy
V tomto případě musíme nainstalovat HAProxy, protože to je to, co chceme zabezpečit pomocí SSL. Pokud máte na svém webovém serveru spuštěno HAProxy, tento krok přeskočte. V opačném případě spusťte následující příkaz „install“ pro rychlou instalaci HAProxy:
$ sudo apt Nainstalujte haproxy
Jakmile jej nainstalujete, proveďte konfigurace, které jsou ideální pro potřeby vašeho serveru, jako je vyrovnávání zátěže.
Krok 3: Nainstalujte Certbot
Všechny bezplatné certifikáty SSL, které vydává Let’s Encrypt, poskytuje Certbot. Pokud je váš certifikát zakoupen jinde, nemusíte Certbot instalovat. Pro tento případ používáme Ubuntu 22.04 a balíček Certbot je dostupný z výchozího úložiště. Chcete-li jej nainstalovat, spusťte následující příkaz:
$ sudo apt Nainstalujte certbot
Krok 4: Získejte certifikát SSL
Jakmile nainstalujete Certbot, můžete získat certifikát SSL z Let’s Encrypt. Použijte následující syntaxi a ujistěte se, že jste nahradili „exampledomain.com“ platnou doménou, kterou chcete zabezpečit.
$ sudo certbot určitě --samostatný -d exampledomain.com -d www.exampledomain.com
Po spuštění příkazu se objeví řada výzev. Projděte si každou výzvu a odpovězte na ně správnými detaily. Například musíte zadat e-mail, který je přidružen k doméně. Jakmile odpovíte na výzvy a vaše doména bude ověřena, bude získán certifikát SSL a uložen na váš server.
Krok 5: Vytvořte jeden soubor PEM
Chcete-li použít vygenerovaný certifikát SSL se svým HAProxy, uložte certifikát a odpovídající soukromý klíč do jednoho souboru PEM. Proto musíme zřetězit soubor certifikátu úplného řetězce se souborem soukromého klíče pomocí následujícího příkazu:
$ sudo kočka / atd / letsencrypt / žít / exampledomain.com / fullchain.pem / atd / letsencrypt / žít / exampledomain.com / privkey.pem | sudo tričko / atd / haproxy / certifikáty / exampledomain.com.pem
Zajistěte, abyste v případě potřeby doménu nahradili.
Krok 6: Nakonfigurujte HAProxy
Jakmile budete mít jeden soubor PEM, musíte nakonfigurovat HAProxy tak, aby odkazovala na soubor, abyste jej zabezpečili. V souboru HAProxy zahrňte port, který chcete svázat s HTTPS, a přidejte cestu k souboru PEM pomocí klíčového slova SSL.
Otevřete soubor pomocí textového editoru.
$ sudo nano / atd / haproxy / haproxy.cfg
Dále upravte konfigurace tak, aby měly frontend podobný tomu v následujícím, který ukazuje, který port je třeba zabezpečit a odkud získat soubor PEM.
Nakonec uložte a ukončete konfigurační soubor. Můžete restartovat HAProxy a váš provoz je zabezpečen při přenosu z klienta na server. Veškerý provoz HTTP bude přesměrován na HTTPS díky schématu přesměrování, které jsme zahrnuli do konfiguračního souboru.
To je způsob, jak zabezpečit HAProxy pomocí SSL.
Závěr
Certifikát SSL/TLS je praktický způsob, jak zabezpečit provoz při použití HAProxy jako nástroje pro vyrovnávání zatížení. Můžete získat bezplatný certifikát SSL od Let’s Encrypt pomocí nástroje Certbot a nakonfigurovat si HAProxy tak, aby jej používala při přesměrování provozu. Představili jsme podrobné kroky, které je třeba následovat, a uvedli příklad, který lze použít při konfiguraci stejného na vašem webovém serveru.