Wanneer uw website actief is, zijn er belangrijke zaken waaraan u moet werken om de veiligheid, beschikbaarheid en betrouwbaarheid te garanderen. Het eerste is het configureren van een load balancer, en HAProxy is een betrouwbare optie gebleken. HAProxy verzorgt de taakverdeling terwijl het fungeert als een reverse proxy. Zelfs als HAProxy is geïnstalleerd, moet u het verkeer nog steeds beveiligen door de transacties met HTTPS te coderen. U kunt uw webserver snel beveiligen met behulp van de SSL/TLS-codering. Op die manier worden de gegevens tussen uw server en de clientapparaten veilig verzonden en wordt de gegevensintegriteit bereikt. Lees verder om te begrijpen hoe u uw HAProxy met SSL kunt beveiligen.
Hoe werkt de SSL-codering?
Dankzij opties als Let’s Encrypt kunt u nu een gratis SSL/TLS-certificaat verkrijgen voor de versleuteling van uw website. Let’s Encrypt is een gratis open certificeringsinstantie die gratis SSL/TLS-certificaten verstrekt met een geldigheidsduur van 90 dagen voor live domeinen. Met deze certificaten wordt uw webverkeer tussen de server en de client als HTTPS verzonden. Op die manier kunnen de hackers het verkeer niet afluisteren en de integriteit van de gedeelde gegevens manipuleren.
Naast dat Let’s Encrypt het gratis maakt, ondersteunt het ook automatisering. Het SSL/TLS-certificaat dat u ontvangt, wordt elke 90 dagen automatisch verlengd. Daarom kunt u een script hebben dat de verlenging uitvoert en uw HAProxy elke 90 dagen bijwerkt. Bovendien zijn Let’s Encrypt-certificaten compatibel met alle browsers en besturingssystemen, wat een naadloos gebruik ervan garandeert om uw HAProxy te beveiligen.
Stapsgewijze handleiding voor het beveiligen van uw HAProxy met SSL
Tot nu toe begrijpen we nu wat een SSL/TLS-certificaat doet en waarom u het nodig heeft voor uw website. Bovendien hebben we besproken hoe je het kunt verkrijgen. De laatste stap is het delen van de stappen om HAProxy met SSL te beveiligen.
Voordat we beginnen, zorg ervoor dat u een live en geldig domein heeft dat is gekoppeld aan de doelwebserver die u met HAProxy gebruikt. Zodra dat klaar is, gaat u verder met de volgende stappen:
Stap 1: Update de repository
Door uw systeem bij te werken, bent u er zeker van dat u de nieuwste broncode krijgt voor de pakketten die u wilt installeren.
$ sudo passende update
Stap 2: Installeer HAProxy
In dit geval moeten we HAProxy installeren omdat we dit willen beveiligen met SSL. Als u HAProxy op uw webserver heeft draaien, slaat u deze stap over. Voer anders de volgende “install”-opdracht uit om HAProxy snel te installeren:
$ sudo geschikt installeren haproxy
Nadat u het hebt geïnstalleerd, voert u de configuraties uit die ideaal zijn voor de behoeften van uw server, zoals taakverdeling.
Stap 3: Installeer Certbot
Alle gratis SSL-certificaten die door Let’s Encrypt worden uitgegeven, worden geleverd via Certbot. U hoeft Certbot niet te installeren als uw certificaat elders is aangeschaft. In dit geval gebruiken we Ubuntu 22.04 en het Certbot-pakket is beschikbaar via de standaardrepository. Om het te installeren, voert u de volgende opdracht uit:
$ sudo geschikt installeren certificaatbot
Stap 4: Verkrijg het SSL-certificaat
Nadat u Certbot hebt geïnstalleerd, kunt u het SSL-certificaat verkrijgen bij Let’s Encrypt. Gebruik de volgende syntaxis en zorg ervoor dat u “exampledomain.com” vervangt door het geldige domein dat u wilt beveiligen.
$ sudo certbot zeker --zelfstandig -D voorbeelddomein.com -D www.exampledomain.com
Nadat u de opdracht hebt uitgevoerd, verschijnt er een reeks aanwijzingen. Doorloop elke vraag en beantwoord ze met de juiste details. U moet bijvoorbeeld het e-mailadres opgeven dat aan het domein is gekoppeld. Zodra u de vragen heeft beantwoord en uw domein is geverifieerd, wordt een SSL-certificaat verkregen en op uw server opgeslagen.
Stap 5: Maak één PEM-bestand
Om het gegenereerde SSL-certificaat te gebruiken met uw HAProxy, slaat u het certificaat en de bijbehorende privésleutel op in één PEM-bestand. Daarom moeten we het volledige ketencertificaatbestand samenvoegen met het privésleutelbestand met de volgende opdracht:
$ sudo kat / enz / laten versleutelen / live / voorbeelddomein.com / fullchain.pem / enz / laten versleutelen / live / voorbeelddomein.com / privkey.pem | sudo tee / enz / haproxy / certificaten / voorbeelddomein.com.pem
Zorg ervoor dat u het domein vervangt wanneer dat nodig is.
Stap 6: Configureer HAProxy
Zodra u één enkel PEM-bestand heeft, moet u HAProxy configureren om naar het bestand te verwijzen om het te beveiligen. Neem in het HAProxy-bestand de poort op die u wilt binden met HTTPS en voeg het pad naar het PEM-bestand toe met behulp van het SSL-trefwoord.
Open het bestand met een teksteditor.
$ sudo nano / enz / haproxy / haproxy.cfg
Bewerk vervolgens de configuraties zodat u een frontend krijgt die lijkt op die hieronder, waarin wordt aangegeven welke poort moet worden beveiligd en waar het PEM-bestand vandaan moet komen.
Sla ten slotte het configuratiebestand op en sluit het af. U kunt HAProxy opnieuw opstarten en uw verkeer is beveiligd terwijl het van de client naar de server wordt verzonden. Al het HTTP-verkeer wordt omgeleid naar HTTPS, dankzij het omleidingsschema dat we in het configuratiebestand hebben opgenomen.
Zo beveiligt u uw HAProxy met SSL.
Conclusie
Een SSL/TLS-certificaat is een handige manier om uw verkeer te beveiligen wanneer u HAProxy als load balancer gebruikt. U kunt een gratis SSL-certificaat verkrijgen van Let’s Encrypt met behulp van de Certbot-tool en uw HAProxy configureren om dit te gebruiken bij het omleiden van het verkeer. We hebben de gedetailleerde stappen gepresenteerd die u moet volgen en een voorbeeld gegeven ter referentie bij het configureren ervan op uw webserver.