haproxy集成国密ssl功能[上]

置顶 已于 2024-02-28 14:54:57 修改
阅读量1.3k 收藏 31
点赞数 25
分类专栏: c++开发 高性能 文章标签: ssl 网络协议 网络 haproxy 国密 openssl
于 2024-02-21 13:30:00 首次发布
原创作品 版权所有 不得转载
本文链接:https://blog.csdn.net/bluestn/article/details/136209484
版权
本文介绍了如何在haproxy中集成国密SSL功能,包括环境搭建、编译铜锁openssl和haproxy,详细阐述了配置国密和国际SSL证书的过程,并提供了测试步骤,确保haproxy能作为国密HTTPS服务器运行。
摘要由CSDN通过智能技术生成

目录

1.1 缘起

   haproxy作为开源高性能http/tcp代理服务器得到了广泛应用,它可以支持国际ssl加密通信功能,但是对于国密ssl却一直没有被官方得到支持。随着国密标准规范的推广应用,以及等保2.0明确规定要求对网络通信中的报文或会话过程全文加密(三级),这样导致在haproxy在国内的很多业务场景中不符合等保要求而不能使用。因此有必要对haproxy进行国密ssl功能支持进行改造。
  铜锁/Tongsuo是由阿里巴巴基于openssl,衍生开发并开源的同时能够提供国际ssl和国密ssl的一个提供现代密码学算法和安全通信协议的开源基础密码库,为存储、网络、密钥管理、隐私计算等诸多业务场景提供底层的密码学基础能力,实现数据在传输、使用、存储等过程中的私密性、完整性和可认证性,为数据生命周期中的隐私和安全提供保护能力。
  本文描述了基于铜锁加密库,为haproxy添加国密ssl的加密传输能力的修改方法以及对应的测试环境搭建和测试方法。

2 环境搭建

2.1 测试环境准备

  为了支持测试国密测试,首先需要准备测试的客户端工具和web服务器。

  • 测试工具:支持国密ssl的curl
    国密curl下载链接
    直接下载linux版本的二进制文件,经测试在ubuntu 22.04中直接可以用。

  • 支持国密ssl的nginx web服务器
    国密nginx下载链接
    从以上地址下载源码后根据文档自行编译部署。
    最新版本的tengine需要修改一下configure:

./configure --prefix=/opt/nginx \
            --add-module=modules/ngx_tongsuo_ntls  \     
            --with-openssl=../Tongsuo  \           # 铜锁的源码目录
            --with-openssl-opt='enable-ntls' \
            --with-http_ssl_module \
            --with-stream \
            --with-stream_ssl_module \
            --with-stream_sni

  然后直接进行编译安装 make & make install
  复制国密nginx下载链接中的证书文件并保存到对应的文件中:

 CA.cert.pem
 SE.cert.pem
 SE.key.pem
 SS.cert.pem
 SS.key.pem
 test_ecc.crt
 test_ecc.key
 test_rsa.crt
 test_rsa.key

  配置nginx.conf文件


	# http服务
    server {
        listen 80;
        server_name localhost;

        access_log /opt/nginx/logs/access.log main;

        ssi on;
        
        location / {

            index index.html;
            root /opt/nginx/html/;
        }
    }
    
	# 支持双证书的https服务
    server {
        listen 443 ssl;

        #开启国密功能
        enable_ntls     on; 

        #国际 RSA 证书
        ssl_certificate                 cert/test_rsa.crt;
        ssl_certificate_key             cert/test_rsa.key;

        #国际 ECC 证书(可选)
        ssl_certificate                 cert/test_ecc.crt;
        ssl_certificate_key             cert/test_ecc.key;

        #国密签名证书
        ssl_sign_certificate            cert/SS.cert.pem;
        ssl_sign_certificate_key        cert/SS.key.pem;

        #国密加密证书
        ssl_enc_certificate             cert/SE.cert.pem;
        ssl_enc_certificate_key         cert/SE.key.pem;

        #国密套件
        ssl_ciphers "ECC-SM2-SM4-CBC-SM3:ECC-SM2-SM4-GCM-SM3:ECDHE-SM2-SM4-CBC-SM3:ECDHE-SM2-SM4-GCM-SM3:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA25    6:!aNULL:!eNULL:!RC4:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS";

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

        default_type  text/plain;

        add_header  "Content-Type" "text/html;charset=utf-8";

        location / { 
            return 200 "tengine ntls test OK, ssl_protocol is $ssl_protocol (NTLSv1.1 表示国密,其他表示国际)";
        }
    }

  如果国密握手成功,将显示:

tengine ntls test OK, ssl_protocol is NTLSv1.1 (NTLSv1.1 表示国密,其他表示国际)

  否则显示:

tengine ntls test OK, ssl_protocol is TLSv1.3 (NTLSv1.1 表示国密,其他表示国际)

2.2 测试

2.2.1 配置haproxy为ssl终结点,用http连接后端服务器

global

    log         /dev/log local2 warning

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     65536
    user        haproxy
    group       haproxy
    nbproc      1
    #nbthread   10
    #daemon
    debug
    
    ssl-default-bind-ciphers ECC-SM2-SM4-CBC-SM3:ECC-SM2-SM4-GCM-SM3:ECDHE-SM2-SM4-CBC-SM3:ECDHE-SM2-SM4-GCM-SM3:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256,AES256-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!ADH:!MD5:!RC4
    ssl-default-bind-options prefer-client-ciphers no-sslv3 no-tlsv10 no-tls-tickets


#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option                  redispatch
    retries                 3
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout check           10s
    maxconn                 3000
    
#---------------------------------------------------------------------
# main frontend which proxys to the backends
#------------------------
最低0.47元/天 解锁文章
码农心语
关注
  • 25
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Tongsuo(铜锁)项目介绍 - 实现国密SSL协议
new9232的博客
06-22 347
本文章主要介绍了铜锁项目的编译,以及使用铜锁项目实现国密SSL通信、搭建支持国密SSL协议的Nginx服务器、支持国密SSL协议的libcurl的使用。
haproxy 负载ssl_在haproxy负载均衡器中配置SSL的教程
weixin_26705651的博客
09-22 317
haproxy 负载sslHi. In this tutorial you will get to know how to implement HTTPS in your servers by using a free certificate from Certbot and implementing it in your Load Balancer with HAProxy. 你好 在本教程中,...
ha 配置ssl_Haproxy支持SSL配置
weixin_42396588的博客
01-14 767
Haproxy 版本需要在1.5以上才支持SSLhaproxy代理ssl有两种方式1、haproxy本身提供ssl证书,后面的web服务器走正常的http,这种方式需要重新编译haproxy2、haproxy本身只提供代理,后面的web服务器https,这种方式不需要重新编译方式一:重新编译安装makeTARGET=linux3100USE_OPENSSL=1ADDLIB=-...
haproxy集成国密ssl功能[下]
一个致力于开源代码学习、分析和交流的博客
02-28 790
本文详细介绍了如何在haproxy上实现国密ssl功能,并且介绍了测试环境搭建和对应的测试方法。
haproxy负载均衡&配置http+https负载集群实战
LcWanf的博客
10-09 423
haproxy基本理论和haproxy配置http+https负载集群实战
ha 配置ssl_haproxy ssl 配置方式
weixin_32282271的博客
01-14 420
haproxy 代理 ssl 有两种方式1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http2、haproxy 本身只提供代理,后面的web服务器https第一种方式需要编译haproxy 支持ssl,编译参数:makeTARGET=linux26USE_OPENSSL=1ADDLIB=-lzlddhaproxy|grepssllibssl.so.10=&...
ha 配置ssl_Haproxy ssl 配置方式
weixin_40000999的博客
01-14 214
通过haproxy redirect请求重定向的方法实现HTTP跳转HTTPS配置实现http跳转到https,采用redirect重定向的做法,只需在frontend端添加:frontend http-inbind*:80bind *:443 ssl crt /etc/haproxy/aaa.bbb.pemredirect scheme https if !{ ssl_fc }redirect...
HAProxy配置SSL
不负韶华梦为马
11-14 1842
haproxy 代理 ssl 有两种方式 1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http(偷懒方式) 2、haproxy 本身只提供代理,后面的web服务器https 第一种方式 需要编译haproxy 支持ssl,编译参数: make TARGET=linux3100 USE_OPENSSL=1 ADDLIB=-lz ldd haproxy | ...
ha 配置ssl_HAproxy 配置ssl 的几种方式
weixin_35740588的博客
01-14 2047
概述在生产环境中,越来越多的人选择使用https, 也就是ssl 证书,如果你生产环境中也使用了HAproxy,那我们我门就得决定我门如何配置我们的HAproxy来正常来说,我们的HAproxy 作为一个中间件在客户端和我们真正接受请求的服务器中间,如果我们要在这样的格局下启用SSL我们有两个选择SSL Termination 是指我们把解密的工作交给我们的HAproxy来做,然后将揭秘后的请求...
haproxy ssl 配置方式
weixin_34368949的博客
02-10 119
haproxy 代理 ssl 有两种方式1、haproxy 本身提供ssl 证书,后面的web 服务器走正常的http2、haproxy 本身只提供代理,后面的web服务器https第一种方式需要编译haproxy 支持ssl,编译参数: make TARGET=linux26 USE_OPENSSL=1 ADDLIB=-lzldd haproxy | grep ss...
部署haproxy+ssl+keepalived
10-14
SSL配置Haproxy中,可以通过定义frontend和backend部分,设置SSL监听端口,启用SNI(Server Name Indication)等功能来实现。 **Keepalived** Keepalived的主要功能是实现VIP(Virtual IP)漂移,当主服务器...
haproxy-2.7.3 for windows 64位 支持ssl
03-12
haproxy-2.7.3 windows版本64位,四个dll文件,该版本支持ssl pem证书文件需要自己生成 带运行库,可以直接运行。自己用Cygwin64 Terminal编译的,这个是64位版本
haproxy-2.6.5 for windows 64位 支持ssl
09-22
haproxy-2.6.5 windows版本64位,四个dll文件,该版本支持ssl pem证书文件需要自己生成 带运行库,可以直接运行。自己用Cygwin64 Terminal编译的,这个是64位版本
haproxy-3.1 for windows 64位 支持ssl
最新发布
06-26
haproxy中启用SSL功能,意味着它可以处理HTTPS流量,为基于HTTP的应用提供安全连接。这通常涉及到配置haproxy来监听443端口,并将接收到的加密请求转发到后端服务器。此外,haproxy还能进行SSL卸载,即接收客户端...
docker-haproxy-ssl
06-09
docker-haproxy-ssl 精益 (8MB) HAProxy + SSL 终止 Docker 镜像,基于progrium/busybox 。 当前软件 HAProxy 1.5.11-patch02 先决条件 Docker 1.5.0+(使用 boot2docker 测试) 跑步 docker run -d -p 80:80 -p ...
Haproxy代理配置SSL证书的方法
SSL加密技术
10-20 2988
Haproxy代理SSL证书配置方法: 1、生成创建证书链: 这里要用到颁发给您的服务器证书、中级根证书、私钥文件合成一个文件,首先创建一个名为 server.pem 的空文本文档, 然后依次将 (服务器证书) 、(中级根证书) 、(私钥文件)三个文件以文本方式打开, 将其中全部内容 (包括 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行分隔)依次复制到新建的 server.pem 文档中。 完成
ha 配置ssl_haproxy 配置SSL
weixin_27719109的博客
01-14 566
yum install haproxyyum install -y openssl openssl-devel readline-devel pcre-devel libssl-dev libpcre3haproxy -vv //查看haproxy是否支持SSL 如果有红色部分则显示为支持haproxy -vvHA-Proxy version 1.5.18 2016/05...
haproxy拉黑上千个ip
09-07
你可以通过在haproxy配置文件中添加多个黑名单规则来拉黑上千个IP地址。首先,你需要编辑haproxy配置文件(通常是haproxy.cfg),然后在配置文件中添加黑名单规则。你可以使用acl命令定义一个名为blacklist的ACL(访问控制列表),并使用block关键字将指定的IP地址列入黑名单。例如,通过在配置文件中添加以下行来拉黑IP地址172.25.7.250和172.25.254.132: acl blacklist src 172.25.7.250 acl blacklist src 172.25.254.132 block if blacklist 接下来,你需要重新加载haproxy配置以使更改生效。你可以使用systemctl命令来重新加载haproxy服务。例如,使用以下命令重新加载haproxy服务: systemctl reload haproxy.service 通过重复以上步骤,你可以添加更多的黑名单规则以拉黑更多的IP地址。可以根据需要重复添加acl和block命令,并使用不同的IP地址。提醒一下,在每次修改配置文件后都要重新加载haproxy服务以使更改生效。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农心语

您的鼓励是我写作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值