Kad jūsu vietne ir izveidota un darbojas, jums ir jāstrādā, lai nodrošinātu drošību, pieejamību un uzticamību. Pirmā lieta ir konfigurēt slodzes balansētāju, un HAProxy ir izrādījies uzticams risinājums. HAProxy apstrādā slodzes līdzsvarošanu, vienlaikus darbojoties kā reversais starpniekserveris. Pat ja HAProxy ir vietā, jums joprojām ir jānodrošina trafiks, šifrējot darījumus ar HTTPS. Varat ātri aizsargāt savu tīmekļa serveri, izmantojot SSL/TLS šifrēšanu. Tādā veidā dati starp serveri un klienta ierīcēm tiek pārsūtīti droši un tiek panākta datu integritāte. Lasiet tālāk, lai saprastu, kā aizsargāt savu HAProxy, izmantojot SSL.
Kā darbojas SSL šifrēšana?
Pateicoties tādām iespējām kā Let’s Encrypt, tagad varat iegūt bezmaksas SSL/TLS sertifikātu savas vietnes šifrēšanai. Let’s Encrypt ir bezmaksas atvērtā sertifikāta iestāde, kas nodrošina bezmaksas SSL/TLS sertifikātus ar 90 dienu derīguma termiņu dzīvajiem domēniem. Izmantojot šos sertifikātus, jūsu tīmekļa trafika starp serveri un klientu tiek nosūtīta kā HTTPS. Tādā veidā hakeri nevar noklausīties trafiku un manipulēt ar koplietoto datu integritāti.
Let's Encrypt ne tikai padara to par brīvu, bet arī atbalsta automatizāciju. Saņemtais SSL/TLS sertifikāts tiek automātiski atjaunots ik pēc 90 dienām. Tāpēc jums var būt skripts, kas palaiž atjaunošanu un atjaunina jūsu HAProxy ik pēc 90 dienām. Turklāt Let’s Encrypt sertifikāti ir saderīgi ar visām pārlūkprogrammām un operētājsistēmām, kas nodrošina to nevainojamu izmantošanu, lai aizsargātu jūsu HAProxy.
Detalizēti norādījumi par to, kā nodrošināt HAProxy, izmantojot SSL
Līdz šim mēs saprotam, ko dara SSL/TLS sertifikāts un kāpēc tas ir nepieciešams jūsu vietnei. Turklāt mēs apspriedām, kā jūs varat to iegūt. Pēdējais solis ir kopīgot darbības, lai nodrošinātu HAProxy ar SSL.
Pirms sākam, pārliecinieties, vai jums ir dzīvs un derīgs domēns, kas saistīts ar mērķa tīmekļa serveri, kuru izmantojat ar HAProxy. Kad tas ir gatavs, veiciet tālāk norādītās darbības.
1. darbība: atjauniniet repozitoriju
Sistēmas atjaunināšana nodrošina, ka saņemat jaunāko avotu pakotnēm, kuras vēlaties instalēt.
$ sudo piemērots atjauninājums
2. darbība. Instalējiet HAProxy
Šajā gadījumā mums ir jāinstalē HAProxy, jo mēs vēlamies to nodrošināt, izmantojot SSL. Ja jūsu tīmekļa serverī darbojas HAProxy, izlaidiet šo darbību. Pretējā gadījumā palaidiet šo komandu “install”, lai ātri instalētu HAProxy:
$ sudo apt uzstādīt haproxy
Kad esat to instalējis, veiciet konfigurācijas, kas ir ideāli piemērotas jūsu servera vajadzībām, piemēram, slodzes līdzsvarošana.
3. darbība. Instalējiet Certbot
Visi bezmaksas SSL sertifikāti, ko izsniedz Let’s Encrypt, tiek nodrošināti, izmantojot Certbot. Jums nav jāinstalē Certbot, ja sertifikāts ir iegādāts citur. Šim gadījumam mēs izmantojam Ubuntu 22.04, un Certbot pakotne ir pieejama noklusējuma repozitorijā. Lai to instalētu, palaidiet šādu komandu:
$ sudo apt uzstādīt certbot
4. darbība: iegūstiet SSL sertifikātu
Kad esat instalējis Certbot, varat iegūt SSL sertifikātu no Let’s Encrypt. Izmantojiet tālāk norādīto sintaksi un nomainiet “exampledomain.com” ar derīgu domēnu, kuru vēlaties aizsargāt.
$ sudo certbot certonly -- savrups -d exampledomain.com -d www.exampledomain.com
Kad palaižat komandu, tiks parādīta virkne uzvedņu. Izlasiet katru uzvedni un atbildiet uz tiem, norādot pareizo informāciju. Piemēram, jums ir jānorāda e-pasts, kas ir saistīts ar domēnu. Kad esat atbildējis uz uzvednēm un jūsu domēns tiks verificēts, tiks iegūts un saglabāts jūsu serverī SSL sertifikāts.
5. darbība: izveidojiet vienu PEM failu
Lai izmantotu ģenerēto SSL sertifikātu ar savu HAProxy, saglabājiet sertifikātu un atbilstošo privāto atslēgu vienā PEM failā. Tāpēc mums ir jāsavieno pilna ķēdes sertifikāta fails ar privātās atslēgas failu ar šādu komandu:
$ sudo kaķis / utt / letsencrypt / tiešraide / exampledomain.com / fullchain.pem / utt / letsencrypt / tiešraide / exampledomain.com / privkey.pem | sudo tee / utt / haproxy / sertifikāti / exampledomain.com.pem
Ja nepieciešams, nomainiet domēnu.
6. darbība: konfigurējiet HAProxy
Kad jums ir viens PEM fails, jums ir jākonfigurē HAProxy, lai norādītu uz failu, lai to aizsargātu. HAProxy failā iekļaujiet portu, kuru vēlaties saistīt ar HTTPS, un pievienojiet ceļu PEM failam, izmantojot SSL atslēgvārdu.
Atveriet failu, izmantojot teksta redaktoru.
$ sudo nano / utt / haproxy / haproxy.cfg
Pēc tam rediģējiet konfigurācijas, lai tās priekšgals būtu līdzīgs tālāk norādītajam, parādot, kuru portu nodrošināt un kur iegūt PEM failu.
Visbeidzot, saglabājiet un izejiet no konfigurācijas faila. Varat restartēt HAProxy, un jūsu trafika pārsūtīšana no klienta uz serveri tiek nodrošināta. Visa HTTP trafika tiks novirzīta uz HTTPS, pateicoties novirzīšanas shēmai, ko iekļāvām konfigurācijas failā.
Šādi nodrošiniet savu HAProxy, izmantojot SSL.
Secinājums
SSL/TLS sertifikāts ir ērts veids, kā nodrošināt trafiku, izmantojot HAProxy kā slodzes balansētāju. Varat iegūt bezmaksas SSL sertifikātu no Let’s Encrypt, izmantojot rīku Certbot, un konfigurēt savu HAProxy, lai to izmantotu trafika novirzīšanai. Mēs iepazīstinājām ar detalizētām darbībām, kas jāveic, un sniedzām atsauces piemēru, konfigurējot to savā tīmekļa serverī.