Ha webhelye működik, kulcsfontosságú dolgokon kell dolgoznia a biztonság, a rendelkezésre állás és a megbízhatóság érdekében. Az első dolog egy terheléselosztó konfigurálása, és a HAProxy megbízható lehetőségnek bizonyult. A HAProxy kezeli a terheléselosztást, miközben fordított proxyként működik. Még a HAProxy használata mellett is biztosítania kell a forgalmat a tranzakciók HTTPS-sel történő titkosításával. Gyorsan biztonságossá teheti webszerverét az SSL/TLS titkosítással. Így a szerver és a kliens eszközök között az adatok biztonságosan továbbíthatók, és az adatok sértetlensége megvalósul. Olvassa el, hogy megértse, hogyan védheti meg HAProxyját SSL-lel.
Hogyan működik az SSL titkosítás?
Az olyan lehetőségeknek köszönhetően, mint a Let’s Encrypt, mostantól ingyenes SSL/TLS-tanúsítványt szerezhet webhelye titkosításához. A Let’s Encrypt egy ingyenes nyílt tanúsító hatóság, amely ingyenes SSL/TLS-tanúsítványokat ad 90 napos érvényességgel élő tartományokhoz. Ezekkel a tanúsítványokkal a webes forgalom a szerver és az ügyfél között HTTPS-ként kerül elküldésre. Így a hackerek nem tudják lehallgatni a forgalmat, és nem tudják manipulálni a megosztott adatok integritását.
Amellett, hogy ingyenes, a Let’s Encrypt támogatja az automatizálást is. A kapott SSL/TLS-tanúsítvány 90 naponta automatikusan megújul. Ezért rendelkezhet olyan szkripttel, amely lefuttatja a megújítást, és 90 naponta frissíti a HAProxy-t. Ezenkívül a Let’s Encrypt tanúsítványok minden böngészővel és operációs rendszerrel kompatibilisek, ami biztosítja azok zökkenőmentes használatát a HAProxy biztonsága érdekében.
Lépésről lépésre, hogyan védheti meg HAProxyját SSL-lel
Eddig megértettük, mit csinál az SSL/TLS-tanúsítvány, és miért van rá szükség a webhelyéhez. Sőt, megbeszéltük, hogyan lehet megszerezni. Az utolsó lépés a HAProxy SSL-lel való biztonságossá tételének lépéseinek megosztása.
Mielőtt elkezdené, győződjön meg arról, hogy a HAProxyval használt cél webszerverhez van egy élő és érvényes tartomány társítva. Ha készen van, folytassa a következő lépésekkel:
1. lépés: Frissítse a tárat
A rendszer frissítése biztosítja, hogy a telepíteni kívánt csomagokhoz a legújabb forrást kapja.
$ sudo találó frissítés
2. lépés: Telepítse a HAProxyt
Ebben az esetben telepítenünk kell a HAProxy-t, mivel ezt szeretnénk SSL használatával biztosítani. Ha HAProxy fut a webszerveren, hagyja ki ezt a lépést. Ellenkező esetben futtassa a következő „install” parancsot a HAProxy gyors telepítéséhez:
$ sudo alkalmas telepítés haproxy
A telepítés után végezze el a szerver igényeinek megfelelő konfigurációkat, például a terheléselosztást.
3. lépés: Telepítse a Certbotot
A Let’s Encrypt által kiadott összes ingyenes SSL-tanúsítványt a Certbot biztosítja. Nem kell telepítenie a Certbotot, ha a tanúsítványt máshol vásárolta. Ebben az esetben az Ubuntu 22.04-et futtatjuk, és a Certbot csomag elérhető az alapértelmezett tárolóból. A telepítéshez futtassa a következő parancsot:
$ sudo alkalmas telepítés certbot
4. lépés: Szerezze be az SSL-tanúsítványt
A Certbot telepítése után megszerezheti az SSL-tanúsítványt a Let’s Encrypt-től. Használja a következő szintaxist, és győződjön meg arról, hogy az „exampledomain.com” címet a védeni kívánt érvényes tartományra cseréli.
$ sudo certbot certonly --önálló -d exampledomain.com -d www.exampledomain.com
A parancs futtatása után egy sor prompt jelenik meg. Menjen végig minden kérdésen, és válaszoljon rájuk a megfelelő részletekkel. Például meg kell adnia a domainhez társított e-mailt. Miután válaszolt a kérdésekre, és a domain ellenőrzése megtörténik, egy SSL-tanúsítványt kapunk, amelyet elmentünk a szerverére.
5. lépés: Hozzon létre egy PEM-fájlt
A generált SSL-tanúsítvány HAProxy-jával való használatához mentse el a tanúsítványt és a megfelelő privát kulcsot egy PEM-fájlba. Ezért a teljes lánc tanúsítványfájlját össze kell kapcsolnunk a privát kulcs fájllal a következő paranccsal:
$ sudo macska / stb / letsencrypt / élő / exampledomain.com / fullchain.pem / stb / letsencrypt / élő / exampledomain.com / privkey.pem | sudo póló / stb / haproxy / bizonyítványok / exampledomain.com.pem
Győződjön meg arról, hogy szükség esetén cserélje ki a tartományt.
6. lépés: A HAProxy konfigurálása
Miután rendelkezik egyetlen PEM-fájllal, be kell állítania a HAProxy-t, hogy hivatkozzon a fájlra a biztonság érdekében. A HAProxy fájlban adja meg a HTTPS-hez kötni kívánt portot, és adja hozzá a PEM-fájl elérési útját az SSL kulcsszó használatával.
Nyissa meg a fájlt egy szövegszerkesztővel.
$ sudo nano / stb / haproxy / haproxy.cfg
Ezután szerkessze a konfigurációkat úgy, hogy az alábbihoz hasonló kezelőfelületet kapjon, amely megmutatja, hogy melyik portot kell biztonságossá tenni, és hol kell a PEM-fájlt beszerezni.
Végül mentse el és lépjen ki a konfigurációs fájlból. Újraindíthatja a HAProxy-t, és a forgalom biztonságos lesz, ahogy az a klienstől a kiszolgálóhoz továbbítódik. A konfigurációs fájlban szereplő átirányítási sémának köszönhetően az összes HTTP-forgalom HTTPS-re lesz átirányítva.
Így biztosíthatja HAProxyját SSL-lel.
Következtetés
Az SSL/TLS-tanúsítvány praktikus módja a forgalom biztosításának, ha a HAProxy-t terheléselosztóként használja. Ingyenes SSL-tanúsítványt szerezhet a Let’s Encrypt-től a Certbot eszközzel, és beállíthatja a HAProxy-t, hogy ezt használja a forgalom átirányításakor. Bemutattuk a követendő részletes lépéseket, és hivatkozási példát adtunk, amikor ugyanezt a webszerveren konfigurálja.