HAProxy-യിൽ ഒരു CA SSL സർട്ടിഫിക്കറ്റ് എങ്ങനെ കോൺഫിഗർ ചെയ്യാം
HAProxy, TCP, HTTP ആപ്ലിക്കേഷനുകൾക്കായി ഉയർന്ന ലഭ്യതയും ലോഡ് ബാലൻസിങ് കഴിവുകളും വാഗ്ദാനം ചെയ്യുന്ന, വ്യാപകമായി ഉപയോഗിക്കപ്പെടുന്ന, വിശ്വസനീയമായ, ഉയർന്ന പ്രകടനമുള്ള റിവേഴ്സ് പ്രോക്സിയാണ്. സ്ഥിരസ്ഥിതിയായി, ഇത് OpenSSL-ൽ സമാഹരിച്ചിരിക്കുന്നു, അങ്ങനെ SSL അവസാനിപ്പിക്കലിനെ പിന്തുണയ്ക്കുന്നു, നിങ്ങളുടെ \വെബ് എൻട്രി സെർവർ അല്ലെങ്കിൽ ആപ്ലിക്കേഷൻ ആക്സസ് ഗേറ്റ്വേ സെർവർ, ക്ലയന്റ് ആപ്ലിക്കേഷനുകൾ എന്നിവയ്ക്കിടയിലുള്ള ട്രാഫിക് എൻക്രിപ്റ്റ് ചെയ്യാനും ഡീക്രിപ്റ്റ് ചെയ്യാനും നിങ്ങളുടെ വെബ്സൈറ്റ്/അപ്ലിക്കേഷൻ സ്റ്റാക്ക് പ്രാപ്തമാക്കുന്നു.
HAPorxy-യിൽ ഒരു CA SSL സർട്ടിഫിക്കറ്റ് എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് ഈ ഗൈഡ് കാണിക്കുന്നു. CA-യിൽ നിന്ന് നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് നിങ്ങൾക്ക് ഇതിനകം ലഭിച്ചിട്ടുണ്ടെന്നും അത് ഒരു HAProxy സെർവറിൽ ഇൻസ്റ്റാൾ ചെയ്യാനും കോൺഫിഗർ ചെയ്യാനും തയ്യാറാണെന്നും ഈ ഗൈഡ് അനുമാനിക്കുന്നു.
പ്രതീക്ഷിക്കുന്ന ഫയലുകൾ ഇവയാണ്:
- സർട്ടിഫിക്കറ്റ് തന്നെ.
- ഇന്റർമീഡിയറ്റ് സർട്ടിഫിക്കറ്റുകളെ ബണ്ടിലുകൾ അല്ലെങ്കിൽ ചെയിൻ എന്നും വിളിക്കുന്നു, കൂടാതെ.
- ലഭ്യമെങ്കിൽ റൂട്ട് CA, ഒപ്പം.
- സ്വകാര്യ കീ.
PEM ഫോർമാറ്റ് ചെയ്ത ഒരു SSL സർട്ടിഫിക്കറ്റ് ഫയൽ സൃഷ്ടിക്കുക
നിങ്ങളുടെ CA സർട്ടിഫിക്കറ്റ് HAProxy-യിൽ കോൺഫിഗർ ചെയ്യുന്നതിന് മുമ്പ്, HAProxy ക്ക് ഒരു .pem
ഫയൽ ആവശ്യമാണെന്ന് നിങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്, അതിൽ ഇനിപ്പറയുന്ന ക്രമത്തിൽ സംയോജിപ്പിച്ചിരിക്കുന്ന മുകളിലുള്ള എല്ലാ ഫയലുകളുടെയും ഉള്ളടക്കം അടങ്ങിയിരിക്കണം:
-
.key
എന്നതിൽ അവസാനിക്കുന്ന സ്വകാര്യ കീ, (ഫയലിന്റെ തുടക്കത്തിലോ അവസാനത്തിലോ വരാം). - എസ്എസ്എൽ സർട്ടിഫിക്കറ്റ് പിന്തുടരുന്നു (സാധാരണയായി
.crt
എന്നതിൽ അവസാനിക്കും). - അപ്പോൾ CA-ബണ്ടിൽ (സാധാരണയായി
.ca-bundle
എന്നതിൽ അവസാനിക്കും), കൂടാതെ - ലഭ്യമെങ്കിൽ റൂട്ട് CA.
.pem
ഫയൽ സൃഷ്uടിക്കുന്നതിന്, നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് ഫയലുകളുള്ള ഡയറക്uടറിയിലേക്ക് നീങ്ങുക ഉദാ. ~/ഡൗൺലോഡുകൾ, തുടർന്ന് ഇതുപോലെ cat കമാൻഡ് പ്രവർത്തിപ്പിക്കുക (ഫയൽ പേരുകൾ അതനുസരിച്ച് മാറ്റിസ്ഥാപിക്കുക):
$ cat example.com.key STAR_example_com/STAR_example_com.crt STAR_example_com/STAR_example_com.ca-bundle > example.com.pem
HAProxy-യിൽ PEM SSL സർട്ടിഫിക്കറ്റ് കോൺഫിഗർ ചെയ്യുക
അടുത്തതായി, കാണിച്ചിരിക്കുന്നതുപോലെ scp കമാൻഡ് ഉപയോഗിച്ച് HAProxy സെർവറിലേക്ക് ഇപ്പോൾ സൃഷ്ടിച്ച .pem
സർട്ടിഫിക്കറ്റ് ഫയൽ അപ്uലോഡ് ചെയ്യുക (യഥാക്രമം sysadmin, 192.168.10.24 എന്നിവ റിമോട്ട് സെർവർ ഉപയോക്തൃനാമവും IP വിലാസവും ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക):
$ scp example.com.pem [email :/home/sysadmin/
തുടർന്ന് mkdir കമാൻഡ് ഉപയോഗിച്ച് സർട്ടിഫിക്കറ്റ് .pem
ഫയൽ സംഭരിക്കുന്ന ഒരു ഡയറക്ടറി സൃഷ്uടിക്കുകയും അതിലേക്ക് ഫയൽ പകർത്തുകയും ചെയ്യുക:
$ sudo mkdir -p /etc/ssl/example.com/ $ sudo cp example.com.pem /etc/ssl/example.com/
അടുത്തതായി, നിങ്ങളുടെ HAProxy കോൺഫിഗറേഷൻ ഫയൽ തുറന്ന് ssl, crt പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് ഫ്രണ്ട്uഎൻഡ് ലിസണർ വിഭാഗത്തിന് കീഴിൽ സർട്ടിഫിക്കറ്റ് കോൺഫിഗർ ചെയ്യുക: ആദ്യത്തേത് SSL അവസാനിപ്പിക്കൽ പ്രവർത്തനക്ഷമമാക്കുന്നു, രണ്ടാമത്തേത് സർട്ടിഫിക്കറ്റ് ഫയലിന്റെ സ്ഥാനം വ്യക്തമാക്കുന്നു.
frontend http_frontend mode http bind *:80 bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 redirect scheme https code 301 if !{ ssl_fc } default_backend http_servers
SSL/TLS-ന്റെ ചില പതിപ്പുകൾ അവയിൽ കണ്ടെത്തിയിട്ടുള്ള കേടുപാടുകൾ കാരണം ഇപ്പോൾ ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നില്ല. SSL-ന്റെ പിന്തുണയുള്ള പതിപ്പ് പരിമിതപ്പെടുത്തുന്നതിന്, നിങ്ങൾക്ക് ഇതുപോലെ ssl-min-ver പാരാമീറ്റർ ചേർക്കാം:
bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2
HTTP-ലേക്ക് HTTPS-ലേക്ക് റീഡയറക്uട് ചെയ്യാൻ HAProxy കോൺഫിഗർ ചെയ്യുക
നിങ്ങളുടെ വെബ്uസൈറ്റ് HTTPS വഴി മാത്രമേ ആക്uസസ് ചെയ്യാനാകൂ എന്ന് ഉറപ്പാക്കാൻ, ഒരു ഉപയോക്താവ് HTTP (പോർട്ട് 80) വഴി ആക്uസസ് ചെയ്യാൻ ശ്രമിച്ചാൽ എല്ലാ HTTP ട്രാഫിക്കും HTTPS-ലേക്ക് റീഡയറക്uട് ചെയ്യുന്നതിന് നിങ്ങൾ HAProxy പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്.
മുകളിലുള്ള കോൺഫിഗറേഷനിലേക്ക് ഇനിപ്പറയുന്ന വരി ചേർക്കുക:
redirect scheme https code 301 if !{ ssl_fc } OR http-request redirect scheme https unless { ssl_fc }
നിങ്ങളുടെ മുൻഭാഗം ഇപ്പോൾ ഈ സാമ്പിൾ കോൺഫിഗറേഷനിലുള്ളത് പോലെയായിരിക്കണം:
frontend http_frontend mode http bind *:80 bind *:443 ssl crt /etc/ssl/example.com/example.com.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2 redirect scheme https code 301 if !{ ssl_fc } default_backend http_servers backend http_servers mode http balance roundrobin option httpchk HEAD / http-response set-header X-Frame-Options SAMEORIGIN http-response set-header X-XSS-Protection 1;mode=block http-response set-header X-Content-Type-Options nosniff default-server check maxconn 5000 server http_server1 10.2.1.55:80
കോൺഫിഗറേഷൻ ഫയൽ സംരക്ഷിച്ച് അത് അടയ്ക്കുക.
ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് അതിന്റെ വാക്യഘടന ശരിയാണോ എന്ന് പരിശോധിക്കുക:
$ sudo haproxy -f /etc/haproxy/haproxy.cfg -c
കോൺഫിഗറേഷൻ ഫയൽ സാധുതയുള്ളതാണെങ്കിൽ, systemctl കമാൻഡ് ഉപയോഗിച്ച് കോൺഫിഗറേഷനിലെ സമീപകാല മാറ്റങ്ങൾ എടുക്കുന്നതിന് ഹാപ്രോക്സി സേവനം വീണ്ടും ലോഡുചെയ്യുക:
$ sudo systemctl reload haproxy
അവസാനമായി പക്ഷേ, ഒരു വെബ് ബ്രൗസറിൽ നിന്ന് നിങ്ങളുടെ വെബ്uസൈറ്റ് ആക്uസസ് ചെയ്uത് മുഴുവൻ സജ്ജീകരണവും പരിശോധിച്ച് സർട്ടിഫിക്കറ്റ് നന്നായി ലോഡ് ചെയ്യുന്നുണ്ടെന്നും ബ്രൗസർ \കണക്ഷൻ സുരക്ഷിതമാണ് എന്ന് സൂചിപ്പിക്കുന്നുവെന്നും ഉറപ്പാക്കുക!
അത്രയേയുള്ളൂ! HAProxy ലോഡ് ബാലൻസർ സോഫ്റ്റ്uവെയറിൽ ഒരു SSL സർട്ടിഫിക്കറ്റ് കോൺഫിഗർ ചെയ്യാൻ ഈ ഗൈഡ് നിങ്ങളെ സഹായിച്ചിട്ടുണ്ടെന്ന് ഞങ്ങൾ പ്രതീക്ഷിക്കുന്നു. നിങ്ങൾക്ക് എന്തെങ്കിലും പിശകുകൾ നേരിടുകയാണെങ്കിൽ, ചുവടെയുള്ള ഫീഡ്uബാക്ക് ഫോം വഴി ഞങ്ങളെ അറിയിക്കുക. നിങ്ങളെ സഹായിക്കുന്നതിൽ ഞങ്ങൾക്ക് സന്തോഷമുണ്ട്.