Keď máte svoju webovú stránku v prevádzke, existujú kľúčové veci, na ktorých musíte popracovať, aby ste zaistili bezpečnosť, dostupnosť a spoľahlivosť. Prvá vec je nakonfigurovať load balancer a HAProxy sa ukázalo ako spoľahlivá možnosť. HAProxy spracováva vyvažovanie záťaže, pričom funguje ako reverzný proxy. Aj keď je HAProxy na mieste, stále musíte zabezpečiť prenos šifrovaním transakcií pomocou HTTPS. Svoj webový server môžete rýchlo zabezpečiť pomocou šifrovania SSL/TLS. Týmto spôsobom sa údaje medzi vaším serverom a klientskymi zariadeniami prenášajú bezpečne a dosiahne sa integrita údajov. Čítajte ďalej, aby ste pochopili, ako zabezpečiť svoje HAProxy pomocou SSL.
Ako funguje šifrovanie SSL?
Vďaka možnostiam, ako je Let’s Encrypt, teraz môžete získať bezplatný certifikát SSL/TLS na šifrovanie vašich webových stránok. Let’s Encrypt je bezplatná otvorená certifikačná autorita, ktorá poskytuje bezplatné certifikáty SSL/TLS s 90-dňovou platnosťou pre živé domény. S týmito certifikátmi sa váš webový prenos medzi serverom a klientom odosiela ako HTTPS. Týmto spôsobom hackeri nemôžu odpočúvať prevádzku a manipulovať s integritou zdieľaných údajov.
Let’s Encrypt okrem toho, že je zadarmo, podporuje aj automatizáciu. Certifikát SSL/TLS, ktorý dostanete, sa automaticky obnovuje každých 90 dní. Preto môžete mať skript, ktorý spustí obnovu a aktualizuje vaše HAProxy každých 90 dní. Certifikáty Let’s Encrypt sú navyše kompatibilné so všetkými prehliadačmi a operačnými systémami, čo zaisťuje ich bezproblémové používanie na zabezpečenie vášho HAProxy.
Podrobná príručka o tom, ako zabezpečiť HAProxy pomocou SSL
Zatiaľ vieme, čo certifikát SSL/TLS robí a prečo ho potrebujete pre svoj web. Okrem toho sme diskutovali o tom, ako ho môžete získať. Posledným krokom je zdieľanie krokov na zabezpečenie HAProxy pomocou SSL.
Skôr ako začneme, uistite sa, že máte živú a platnú doménu priradenú k cieľovému webovému serveru, ktorý používate s HAProxy. Keď je to pripravené, pokračujte podľa nasledujúcich krokov:
Krok 1: Aktualizujte úložisko
Aktualizácia vášho systému zabezpečí, že získate najnovší zdroj pre balíky, ktoré chcete nainštalovať.
$ sudo apt update
Krok 2: Nainštalujte HAProxy
V tomto prípade musíme nainštalovať HAProxy, pretože to je to, čo chceme zabezpečiť pomocou SSL. Ak máte na svojom webovom serveri spustený HAProxy, tento krok preskočte. V opačnom prípade spustite nasledujúci príkaz „install“ na rýchlu inštaláciu HAProxy:
$ sudo apt Inštalácia haproxy
Po inštalácii vykonajte konfigurácie, ktoré sú ideálne pre potreby vášho servera, ako je napríklad vyrovnávanie záťaže.
Krok 3: Nainštalujte Certbot
Všetky bezplatné certifikáty SSL, ktoré vydáva Let’s Encrypt, poskytuje Certbot. Ak je váš certifikát zakúpený inde, Certbot nemusíte inštalovať. V tomto prípade používame Ubuntu 22.04 a balík Certbot je dostupný z predvoleného úložiska. Ak ho chcete nainštalovať, spustite nasledujúci príkaz:
$ sudo apt Inštalácia certbot
Krok 4: Získajte certifikát SSL
Po nainštalovaní Certbotu môžete získať certifikát SSL z Let’s Encrypt. Použite nasledujúcu syntax a uistite sa, že nahradíte „exampledomain.com“ platnou doménou, ktorú chcete zabezpečiť.
$ sudo certbot určite --samostatne -d exampledomain.com -d www.exampledomain.com
Po spustení príkazu sa zobrazí séria výziev. Prejdite si každú výzvu a odpovedzte na ne správnymi údajmi. Napríklad musíte zadať e-mail, ktorý je spojený s doménou. Keď odpoviete na výzvy a vaša doména bude overená, získa sa certifikát SSL a uloží sa na váš server.
Krok 5: Vytvorte jeden súbor PEM
Ak chcete použiť vygenerovaný certifikát SSL s vaším HAProxy, uložte certifikát a príslušný súkromný kľúč do jedného súboru PEM. Preto musíme zreťaziť súbor certifikátu úplného reťazca so súborom súkromného kľúča pomocou nasledujúceho príkazu:
$ sudo kat / atď / letsencrypt / naživo / exampledomain.com / fullchain.pem / atď / letsencrypt / naživo / exampledomain.com / privkey.pem | sudo tričko / atď / haproxy / certifikáty / exampledomain.com.pem
Zaistite, aby ste doménu nahradili vždy, keď je to potrebné.
Krok 6: Nakonfigurujte HAProxy
Keď máte jeden súbor PEM, musíte nakonfigurovať HAProxy tak, aby odkazovalo na súbor a zabezpečilo ho. V súbore HAProxy zahrňte port, ktorý chcete spojiť s HTTPS, a pridajte cestu k súboru PEM pomocou kľúčového slova SSL.
Otvorte súbor pomocou textového editora.
$ sudo nano / atď / haproxy / haproxy.cfg
Ďalej upravte konfigurácie tak, aby mali klientske rozhranie podobné tomu, ktoré je uvedené v nasledujúcom texte, s uvedením, ktorý port sa má zabezpečiť a odkiaľ je možné získať súbor PEM.
Nakoniec uložte a ukončite konfiguračný súbor. Môžete reštartovať HAProxy a vaša prevádzka je zabezpečená pri prenose z klienta na server. Všetok prenos HTTP bude presmerovaný na HTTPS vďaka schéme presmerovania, ktorú sme zahrnuli do konfiguračného súboru.
Takto zabezpečíte svoje HAProxy pomocou SSL.
Záver
Certifikát SSL/TLS je praktický spôsob, ako zabezpečiť vašu prevádzku pri použití HAProxy ako vyrovnávača zaťaženia. Môžete získať bezplatný certifikát SSL od spoločnosti Let’s Encrypt pomocou nástroja Certbot a nakonfigurovať si HAProxy tak, aby ho používala pri presmerovaní prevádzky. Predstavili sme podrobné kroky, ktoré je potrebné dodržiavať, a poskytli príklad, ktorý môžete použiť pri konfigurácii toho istého na vašom webovom serveri.