כאשר אתה מפעיל את האתר שלך, ישנם דברים עיקריים שאתה חייב לעבוד עליהם כדי להבטיח אבטחה, זמינות ואמינות. הדבר הראשון הוא להגדיר מאזן עומסים, ו-HAProxy הוכיחה את עצמה כאופציה אמינה. HAProxy מטפלת באיזון העומסים תוך שהיא פועלת כפרוקסי הפוך. אפילו עם HAProxy במקום, אתה עדיין חייב לאבטח את התעבורה על ידי הצפנת העסקאות עם HTTPS. אתה יכול לאבטח במהירות את שרת האינטרנט שלך באמצעות הצפנת SSL/TLS. כך, הנתונים בין השרת שלך למכשירי הלקוח מועברים בצורה מאובטחת, ושלמות הנתונים מושגת. המשך לקרוא כדי להבין כיצד לאבטח את HAProxy שלך עם SSL.
כיצד פועלת הצפנת SSL?
הודות לאפשרויות כמו Let's Encrypt, כעת תוכל לקבל תעודת SSL/TLS בחינם להצפנת האתר שלך. Let's Encrypt היא רשות אישורים פתוחה בחינם המעניקה תעודות SSL/TLS בחינם עם תוקף של 90 יום לדומיינים חיים. עם אישורים אלה, תעבורת האינטרנט שלך בין השרת ללקוח נשלחת כ-HTTPS. כך, ההאקרים לא יכולים לצותת לתנועה ולתפעל את שלמות הנתונים המשותפים.
מלבד הפיכתו בחינם, Let's Encrypt תומך גם באוטומציה. אישור ה-SSL/TLS שאתה מקבל מתחדש אוטומטית כל 90 יום. לכן, אתה יכול לקבל סקריפט שמריץ את החידוש ומעדכן את HAProxy שלך כל 90 יום. יתר על כן, תעודות Let's Encrypt תואמות לכל הדפדפנים ומערכות ההפעלה מה שמבטיח שימוש חלק בהם כדי לאבטח את ה-HAProxy שלך.
מדריך שלב אחר שלב כיצד לאבטח את ה-HAProxy שלך באמצעות SSL
עד כה, כעת הבנו מה עושה תעודת SSL/TLS ומדוע אתה צריך אותה עבור האתר שלך. יתר על כן, דנו כיצד ניתן לרכוש אותו. השלב האחרון הוא לשתף את השלבים לאבטחת HAProxy עם SSL.
לפני שנתחיל, ודא שיש לך דומיין חי ותקף המשויך לשרת האינטרנט היעד שבו אתה משתמש עם HAProxy. ברגע שזה מוכן, המשך לשלבים הבאים:
שלב 1: עדכן את המאגר
עדכון המערכת שלך מבטיח שתקבל את המקור העדכני ביותר עבור החבילות שברצונך להתקין.
$ סודו עדכון מתאים
שלב 2: התקן את HAProxy
במקרה זה, עלינו להתקין את HAProxy מכיוון שזה מה שאנו רוצים לאבטח באמצעות SSL. אם פועלת HAProxy בשרת האינטרנט שלך, דלג על שלב זה. אחרת, הפעל את הפקודה 'install' הבאה כדי להתקין את HAProxy במהירות:
$ סודו מַתְאִים להתקין האפרוקסי
לאחר שהתקנת אותו, בצע את התצורות המתאימות לצרכי השרת שלך כגון איזון עומסים.
שלב 3: התקן את Certbot
כל תעודות ה-SSL החינמיות המונפקות על ידי Let's Encrypt מסופקות דרך Certbot. אינך צריך להתקין Certbot אם האישור שלך נרכש במקום אחר. אנו מריצים את אובונטו 22.04 למקרה זה, וחבילת Certbot זמינה ממאגר ברירת המחדל. כדי להתקין אותו, הפעל את הפקודה הבאה:
$ סודו מַתְאִים להתקין certbot
שלב 4: השג את אישור SSL
לאחר התקנת Certbot, תוכל לקבל את אישור ה-SSL מ-Let's Encrypt. השתמש בתחביר הבא וודא שאתה מחליף את 'exampledomain.com' בדומיין החוקי שברצונך לאבטח.
$ סודו certbot בהחלט --עצמאי -ד exampledomain.com -ד 02F96F6A24A74C48CCCC6B766C9552D2047345E
לאחר הפעלת הפקודה, תופיע סדרה של הנחיות. עברו על כל הנחיה וענה עליהן עם הפרטים הנכונים. לדוגמה, עליך לתת את האימייל המשויך לדומיין. לאחר שענית על ההנחיות והדומיין שלך יאומת, תתקבל אישור SSL ויישמר בשרת שלך.
שלב 5: צור קובץ PEM יחיד
כדי להשתמש באישור ה-SSL שנוצר עם ה-HAProxy שלך, שמור את האישור והמפתח הפרטי המתאים בקובץ PEM אחד. לכן, עלינו לשרשר את קובץ אישור השרשרת המלא לקובץ המפתח הפרטי עם הפקודה הבאה:
$ סודו חתול / וכו / letsencrypt / לחיות / exampledomain.com / fullchain.pem / וכו / letsencrypt / לחיות / exampledomain.com / privkey.pem | סודו טי / וכו / האפרוקסי / תעודות / exampledomain.com.pem
ודא שאתה מחליף את הדומיין בכל פעם שנדרש.
שלב 6: הגדר את HAProxy
ברגע שיש לך קובץ PEM יחיד, עליך להגדיר את HAProxy להפנות לקובץ כדי לאבטח אותו. בקובץ HAProxy, כלול את היציאה שברצונך לאגד עם HTTPS והוסף את הנתיב לקובץ PEM באמצעות מילת המפתח SSL.
פתח את הקובץ באמצעות עורך טקסט.
$ סודו ננו / וכו / האפרוקסי / haproxy.cfg
לאחר מכן, ערוך את התצורות כך שיהיה חזית דומה לזה שבהמשך, מראה איזו יציאה לאבטח והיכן למקור קובץ PEM.
לבסוף, שמור וצא מקובץ התצורה. אתה יכול להפעיל מחדש את HAProxy, והתעבורה שלך מאובטחת כשהיא משדרת מהלקוח לשרת. כל תעבורת ה-HTTP תופנה ל-HTTPS, הודות לתכנית ההפניה שכללנו בקובץ התצורה.
כך לאבטח את HAProxy שלך עם SSL.
סיכום
אישור SSL/TLS הוא דרך שימושית לאבטחת התעבורה שלך בעת שימוש ב-HAProxy כמאזן העומס שלך. אתה יכול לקבל אישור SSL בחינם מ-Let's Encrypt באמצעות הכלי Certbot ולהגדיר את ה-HAProxy שלך להשתמש בו בעת הפניית התעבורה. הצגנו את השלבים המפורטים שיש לעקוב אחריהם וסיפקנו דוגמה להתייחסות בעת קביעת התצורה שלו בשרת האינטרנט שלך.