Kui teie veebisait on töökorras, peate turvalisuse, kättesaadavuse ja töökindluse tagamiseks tegema olulisi asju. Esimene asi on koormuse tasakaalustaja konfigureerimine ja HAProxy on osutunud usaldusväärseks võimaluseks. HAProxy tegeleb koormuse tasakaalustamisega, toimides samal ajal vastupidise puhverserverina. Isegi kui HAProxy on paigas, peate ikkagi liiklust kaitsma, krüpteerides tehingud HTTPS-iga. Saate oma veebiserveri kiiresti kaitsta SSL/TLS-krüptimise abil. Nii edastatakse andmed teie serveri ja kliendi seadmete vahel turvaliselt ning saavutatakse andmete terviklikkus. Lugege edasi, et mõista, kuidas oma HAProxyt SSL-iga kaitsta.
Kuidas SSL-krüptimine töötab?
Tänu sellistele valikutele nagu Let’s Encrypt, saate nüüd hankida oma veebisaidi krüptimiseks tasuta SSL/TLS-sertifikaadi. Let’s Encrypt on tasuta avatud sertifikaadi asutus, mis annab aktiivsetele domeenidele tasuta 90-päevase kehtivusega SSL/TLS-sertifikaate. Nende sertifikaatidega saadetakse teie veebiliiklus serveri ja kliendi vahel HTTPS-ina. Nii ei saa häkkerid liiklust pealt kuulata ega jagatud andmete terviklikkust manipuleerida.
Lisaks tasuta tegemisele toetab Let’s Encrypt ka automatiseerimist. Saadud SSL/TLS-sertifikaati uuendatakse automaatselt iga 90 päeva järel. Seetõttu võib teil olla skript, mis käivitab uuendamise ja värskendab teie HAProxyt iga 90 päeva järel. Lisaks ühilduvad Let’s Encrypt sertifikaadid kõigi brauserite ja operatsioonisüsteemidega, mis tagab nende sujuva kasutamise teie HAProxy turvamiseks.
Üksikasjalik juhend HAProxy kaitsmiseks SSL-iga
Seni oleme nüüd aru saanud, mida SSL/TLS-sertifikaat teeb ja miks seda oma veebisaidi jaoks vaja on. Lisaks arutasime, kuidas seda omandada. Viimane samm on SSL-iga HAProxy kaitsmise sammude jagamine.
Enne alustamist veenduge, et teil on HAProxyga kasutatava sihtveebiserveriga seotud elav ja kehtiv domeen. Kui see on valmis, jätkake järgmiste sammudega.
1. samm: värskendage hoidlat
Süsteemi värskendamine tagab installitavate pakettide uusima allika hankimise.
$ sudo sobiv värskendus
2. samm: installige HAProxy
Sel juhul peame installima HAProxy, kuna seda tahame SSL-i abil kaitsta. Kui teie veebiserveris töötab HAProxy, jätke see samm vahele. Vastasel juhul käivitage HAProxy kiireks installimiseks järgmine käsk 'install'.
$ sudo asjakohane installida haproxy
Kui olete selle installinud, tehke konfiguratsioonid, mis sobivad ideaalselt teie serveri vajadustega, näiteks koormuse tasakaalustamine.
3. samm: installige Certbot
Kõik Let’s Encrypti tasuta SSL-sertifikaadid on saadaval Certboti kaudu. Kui teie sertifikaat on mujalt ostetud, ei pea te Certbotit installima. Selle juhtumi jaoks kasutame Ubuntu 22.04 ja Certboti pakett on saadaval vaikehoidlast. Selle installimiseks käivitage järgmine käsk:
$ sudo asjakohane installida certbot
4. samm: hankige SSL-sertifikaat
Kui olete Certboti installinud, saate Let’s Encrypti kaudu hankida SSL-sertifikaadi. Kasutage järgmist süntaksit ja veenduge, et asendate „exampledomain.com” kehtiva domeeniga, mida soovite kaitsta.
$ sudo certbot certonly -- eraldiseisev -d exampledomain.com -d www.exampledomain.com
Kui olete käsu käivitanud, kuvatakse rida viipasid. Vaadake iga viip läbi ja vastake neile õigete üksikasjadega. Näiteks peate andma domeeniga seotud e-posti aadressi. Kui olete viipadele vastanud ja teie domeen on kinnitatud, hangitakse ja salvestatakse teie serverisse SSL-sertifikaat.
5. samm: looge üks PEM-fail
Loodud SSL-sertifikaadi kasutamiseks koos HAProxyga salvestage sertifikaat ja vastav privaatvõti ühte PEM-faili. Seetõttu peame ühendama kogu ahela sertifikaadi faili privaatvõtme failiga järgmise käsuga:
$ sudo kass / jne / letsencrypt / elada / exampledomain.com / fullchain.pem / jne / letsencrypt / elada / exampledomain.com / privkey.pem | sudo tee / jne / haproxy / sertifikaadid / exampledomain.com.pem
Asendage domeen alati, kui vaja.
6. samm: konfigureerige HAProxy
Kui teil on üks PEM-fail, peate konfigureerima HAProxy failile viitama selle kaitsmiseks. Lisage HAProxy-faili port, mille soovite HTTPS-iga siduda, ja lisage PEM-faili tee SSL-i märksõna abil.
Avage fail tekstiredaktoriga.
$ sudo nano / jne / haproxy / haproxy.cfg
Järgmisena redigeerige konfiguratsioone, et nende kasutajaliides oleks sarnane järgmisega, näidates, millist porti kaitsta ja kust PEM-faili hankida.
Lõpuks salvestage ja väljuge konfiguratsioonifailist. Saate HAProxy taaskäivitada ja teie liiklus on kliendilt serverisse edastamisel kaitstud. Kogu HTTP-liiklus suunatakse ümber HTTPS-i tänu ümbersuunamisskeemile, mille lisasime konfiguratsioonifaili.
Nii saate oma HAProxyt SSL-iga kaitsta.
Järeldus
SSL/TLS-sertifikaat on mugav viis liikluse turvamiseks, kui kasutate HAProxyt koormuse tasakaalustajana. Saate hankida ettevõttelt Let’s Encrypt tasuta SSL-sertifikaadi Certboti tööriista abil ja konfigureerida oma HAProxy seda kasutama liikluse ümbersuunamisel. Esitasime üksikasjalikud sammud, mida järgida, ja andsime näite, mille abil saate seda oma veebiserveris konfigureerida.