Ko imate svoje spletno mesto pripravljeno in deluje, morate delati na ključnih stvareh, da zagotovite varnost, razpoložljivost in zanesljivost. Prva stvar je konfiguracija izravnalnika obremenitve in HAProxy se je izkazal za zanesljivo možnost. HAProxy skrbi za uravnoteženje obremenitve, medtem ko deluje kot obratni proxy. Tudi z nameščenim HAProxy morate še vedno zavarovati promet s šifriranjem transakcij s HTTPS. Svoj spletni strežnik lahko hitro zaščitite s šifriranjem SSL/TLS. Na ta način se podatki med vašim strežnikom in odjemalskimi napravami prenašajo varno in je dosežena celovitost podatkov. Preberite o tem, kako zaščititi svoj HAProxy s SSL.
Kako deluje šifriranje SSL?
Zahvaljujoč možnostim, kot je Let’s Encrypt, lahko zdaj pridobite brezplačno potrdilo SSL/TLS za šifriranje vašega spletnega mesta. Let’s Encrypt je brezplačen odprt overitelj potrdil, ki nudi brezplačna potrdila SSL/TLS z 90-dnevno veljavnostjo za žive domene. S temi certifikati se vaš spletni promet med strežnikom in odjemalcem pošilja kot HTTPS. Tako hekerji ne morejo prisluškovati prometu in manipulirati s celovitostjo podatkov v skupni rabi.
Poleg tega, da je brezplačen, Let’s Encrypt podpira tudi avtomatizacijo. SSL/TLS certifikat, ki ga prejmete, se samodejno obnavlja vsakih 90 dni. Zato lahko imate skript, ki zažene obnovo in posodobi vaš HAProxy vsakih 90 dni. Poleg tega so certifikati Let’s Encrypt združljivi z vsemi brskalniki in operacijskimi sistemi, kar zagotavlja njihovo brezhibno uporabo za zaščito vašega HAProxy.
Vodnik po korakih o tem, kako zaščititi svoj HAProxy s SSL
Doslej smo razumeli, kaj certifikat SSL/TLS počne in zakaj ga potrebujete za svojo spletno stran. Poleg tega smo razpravljali o tem, kako ga lahko pridobite. Zadnji korak je delitev korakov za zaščito HAProxy s SSL.
Preden začnemo, zagotovite, da imate aktivno in veljavno domeno, povezano s ciljnim spletnim strežnikom, ki ga uporabljate s HAProxy. Ko je pripravljen, nadaljujte z naslednjimi koraki:
1. korak: Posodobite repozitorij
Posodabljanje sistema zagotavlja, da dobite najnovejši vir za pakete, ki jih želite namestiti.
$ sudo primerna posodobitev
2. korak: Namestite HAProxy
V tem primeru moramo namestiti HAProxy, saj ga želimo zaščititi s SSL. Če na vašem spletnem strežniku deluje HAProxy, preskočite ta korak. V nasprotnem primeru za hitro namestitev HAProxy zaženite naslednji ukaz »install«:
$ sudo apt namestite haproxy
Ko ga namestite, izvedite konfiguracije, ki so idealne za potrebe vašega strežnika, kot je uravnoteženje obremenitve.
3. korak: Namestite Certbot
Vsa brezplačna potrdila SSL, ki jih izda Let’s Encrypt, so na voljo prek Certbota. Certbota vam ni treba namestiti, če ste potrdilo kupili drugje. Za ta primer uporabljamo Ubuntu 22.04, paket Certbot pa je na voljo v privzetem repozitoriju. Če ga želite namestiti, zaženite naslednji ukaz:
$ sudo apt namestite certbot
4. korak: pridobite SSL certifikat
Ko namestite Certbot, lahko dobite potrdilo SSL od Let’s Encrypt. Uporabite naslednjo sintakso in zagotovite, da zamenjate »exampledomain.com« z veljavno domeno, ki jo želite zaščititi.
$ sudo certbot zagotovo --samostojen -d exampledomain.com -d www.exampledomain.com
Ko zaženete ukaz, se prikaže vrsta pozivov. Preglejte vsak poziv in nanj odgovorite s pravilnimi podrobnostmi. Navesti morate na primer e-pošto, ki je povezana z domeno. Ko odgovorite na pozive in bo vaša domena preverjena, bo pridobljeno potrdilo SSL in shranjeno na vašem strežniku.
5. korak: Ustvarite eno datoteko PEM
Če želite uporabiti ustvarjeno potrdilo SSL s svojim HAProxy, shranite potrdilo in ustrezen zasebni ključ v eno datoteko PEM. Zato moramo datoteko potrdila celotne verige povezati z datoteko zasebnega ključa z naslednjim ukazom:
$ sudo mačka / itd / letsencrypt / v živo / exampledomain.com / fullchain.pem / itd / letsencrypt / v živo / exampledomain.com / privkey.pem | sudo majica / itd / haproxy / potrdila / exampledomain.com.pem
Zagotovite, da zamenjate domeno, kadar koli je to potrebno.
6. korak: Konfigurirajte HAProxy
Ko imate eno datoteko PEM, morate konfigurirati HAProxy tako, da se sklicuje na datoteko, da jo zaščitite. V datoteko HAProxy vključite vrata, ki jih želite povezati s HTTPS, in dodajte pot do datoteke PEM s ključno besedo SSL.
Odprite datoteko z urejevalnikom besedil.
$ sudo nano / itd / haproxy / haproxy.cfg
Nato uredite konfiguracije, da boste imeli vmesnik, podoben naslednjemu, ki prikazuje, katera vrata je treba zaščititi in od kod izvirati datoteka PEM.
Na koncu shranite in zaprite konfiguracijsko datoteko. Lahko znova zaženete HAProxy in vaš promet bo zavarovan, ko se prenaša od odjemalca do strežnika. Ves promet HTTP bo preusmerjen na HTTPS, zahvaljujoč shemi preusmeritve, ki smo jo vključili v konfiguracijsko datoteko.
Tako zaščitite svoj HAProxy s SSL.
Zaključek
Potrdilo SSL/TLS je priročen način za zaščito vašega prometa, ko uporabljate HAProxy kot izravnalnik obremenitve. Z orodjem Certbot lahko dobite brezplačno potrdilo SSL pri Let’s Encrypt in konfigurirate svoj HAProxy, da ga uporablja pri preusmerjanju prometa. Predstavili smo podrobne korake, ki jih morate upoštevati, in podali primer, na katerega se lahko sklicujete pri konfiguraciji istega na vašem spletnem strežniku.