Quando il tuo sito web è attivo e funzionante, ci sono aspetti fondamentali su cui devi lavorare per garantire sicurezza, disponibilità e affidabilità. La prima cosa è configurare un bilanciatore del carico e HAProxy si è rivelato un'opzione affidabile. HAProxy gestisce il bilanciamento del carico agendo come proxy inverso. Anche con HAProxy attivo, devi comunque proteggere il traffico crittografando le transazioni con HTTPS. Puoi proteggere rapidamente il tuo server web utilizzando la crittografia SSL/TLS. In questo modo, i dati tra il tuo server e i dispositivi client vengono trasmessi in modo sicuro e l'integrità dei dati viene raggiunta. Continua a leggere per capire come proteggere il tuo HAProxy con SSL.
Come funziona la crittografia SSL?
Grazie a opzioni come Let's Encrypt, ora puoi ottenere un certificato SSL/TLS gratuito per la crittografia del tuo sito web. Let's Encrypt è un'autorità di certificazione aperta e gratuita che fornisce certificati SSL/TLS gratuiti con una validità di 90 giorni per i domini attivi. Con questi certificati, il tuo traffico web tra il server e il client viene inviato come HTTPS. In questo modo, gli hacker non possono intercettare il traffico e manipolare l’integrità dei dati condivisi.
Oltre a renderlo gratuito, Let's Encrypt supporta anche l'automazione. Il certificato SSL/TLS che ricevi si rinnova automaticamente ogni 90 giorni. Pertanto, puoi avere uno script che esegue il rinnovo e aggiorna il tuo HAProxy ogni 90 giorni. Inoltre, i certificati Let's Encrypt sono compatibili con tutti i browser e sistemi operativi, il che ne garantisce un utilizzo senza interruzioni per proteggere il tuo HAProxy.
Guida passo passo su come proteggere il tuo HAProxy con SSL
Finora abbiamo capito cosa fa un certificato SSL/TLS e perché ne hai bisogno per il tuo sito web. Inoltre, abbiamo discusso di come acquisirlo. L'ultimo passaggio consiste nel condividere i passaggi per proteggere HAProxy con SSL.
Prima di iniziare, assicurati di disporre di un dominio attivo e valido associato al server Web di destinazione che utilizzi con HAProxy. Una volta pronto, procedere con i seguenti passaggi:
Passaggio 1: aggiorna il repository
L'aggiornamento del sistema garantisce di ottenere la fonte più recente per i pacchetti che si desidera installare.
$ sudo aggiornamento adeguato
Passaggio 2: installare HAProxy
In questo caso, dobbiamo installare HAProxy poiché è ciò che vogliamo proteggere utilizzando SSL. Se hai HAProxy in esecuzione sul tuo server web, salta questo passaggio. Altrimenti, esegui il seguente comando 'installa' per installare rapidamente HAProxy:
$ sudo adatto installare aproxy
Una volta installato, esegui le configurazioni ideali per le esigenze del tuo server come il bilanciamento del carico.
Passaggio 3: installa Certbot
Tutti i certificati SSL gratuiti emessi da Let's Encrypt sono forniti tramite Certbot. Non è necessario installare Certbot se il certificato è stato acquistato altrove. In questo caso utilizziamo Ubuntu 22.04 e il pacchetto Certbot è disponibile nel repository predefinito. Per installarlo, esegui il seguente comando:
$ sudo adatto installare cerbot
Passaggio 4: ottieni il certificato SSL
Una volta installato Certbot, puoi ottenere il certificato SSL da Let's Encrypt. Utilizza la seguente sintassi e assicurati di sostituire 'exampledomain.com' con il dominio valido che desideri proteggere.
$ sudo certibot certamente --indipendente, autonomo -D dominioesempio.com -D www.exampledomain.com
Una volta eseguito il comando, verranno visualizzate una serie di istruzioni. Esamina ogni richiesta e rispondi con i dettagli corretti. Ad esempio, devi fornire l'e-mail associata al dominio. Una volta che hai risposto alle richieste e il tuo dominio è stato verificato, un certificato SSL verrà ottenuto e salvato sul tuo server.
Passaggio 5: crea un singolo file PEM
Per utilizzare il certificato SSL generato con HAProxy, salvare il certificato e la chiave privata corrispondente in un unico file PEM. Pertanto, dobbiamo concatenare il file del certificato della catena completa al file della chiave privata con il seguente comando:
$ sudo gatto / eccetera / letsencrypt / vivere / dominioesempio.com / fullchain.pem / eccetera / letsencrypt / vivere / dominioesempio.com / privkey.pem | sudo tee / eccetera / aproxy / certificati / dominioesempio.com.pem
Assicurati di sostituire il dominio ogni volta che è necessario.
Passaggio 6: configurare HAProxy
Una volta ottenuto un singolo file PEM, è necessario configurare HAProxy in modo che faccia riferimento al file per proteggerlo. Nel file HAProxy, includi la porta che desideri associare a HTTPS e aggiungi il percorso al file PEM utilizzando la parola chiave SSL.
Apri il file utilizzando un editor di testo.
$ sudo nano / eccetera / aproxy / haproxy.cfg
Successivamente, modifica le configurazioni per avere un frontend simile a quello seguente, che mostra quale porta proteggere e dove procurarsi il file PEM.
Infine, salva ed esci dal file di configurazione. Puoi riavviare HAProxy e il tuo traffico sarà protetto mentre trasmette dal client al server. Tutto il traffico HTTP verrà reindirizzato su HTTPS, grazie allo schema di reindirizzamento che abbiamo incluso nel file di configurazione.
Ecco come proteggere il tuo HAProxy con SSL.
Conclusione
Un certificato SSL/TLS è un modo pratico per proteggere il tuo traffico quando utilizzi HAProxy come bilanciatore del carico. Puoi ottenere un certificato SSL gratuito da Let's Encrypt utilizzando lo strumento Certbot e configurare il tuo HAProxy per utilizzarlo durante il reindirizzamento del traffico. Abbiamo presentato i passaggi dettagliati da seguire e fornito un esempio a cui fare riferimento durante la configurazione dello stesso sul server web.