ha 配置ssl_基于haproxy的全站https

最新推荐文章于 2024-08-11 00:01:40 发布
最新推荐文章于 2024-08-11 00:01:40 发布
阅读量295 收藏
点赞数
文章标签: ha 配置ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36312811/article/details/113006139
版权
本文介绍了如何应对运营商流量劫持,通过全站HTTPS提供更安全的访问体验。详细讲述了如何创建自签名CA证书,配置Nginx服务器,修改haproxy配置,以及进行测试。虽然自签证书会导致浏览器警告,但整个过程为部署HTTPS提供了基础。
摘要由CSDN通过智能技术生成

前一段时间新疆等地用户访问国务院官网,在首页上发现大量淫秽信息及广告,后反映给相关工作人员。经排查,并非是网站被劫持和入侵,而是运营商流量劫持导致的这个结果……此处且不论该时间后续事宜,作为一名优秀的运维工程师,我们面对运营商如此流氓的行为,应该怎么办? 当然是全站HTTPS了,目前,百度、阿里、腾讯等国内互联网巨头已经采用全站HTTPS。下面我将带你模拟搭建HTTPS。

3c8ce6380daa33c267ccb0e2e66a02de.png

这是一个常见的haproxy架构型,我们现在采用此架构,将HTTPS部署在haproxy上。

第一步:创建CA证书

1.CA机自签名:

#创建数据库

[root@centos]cd /etc/pki/CA touch index.txt

[root@centos]echo 10 > serial

#生成私钥

[root@centos](umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

#自签证书

[root@centos]cd /etc/pki/CA

[root@centos]openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300

填写CA信息

3c8ce6380daa33c267ccb0e2e66a02de.png

3c8ce6380daa33c267ccb0e2e66a02de.png

2.客户端申请CA

生产私钥

[root@centos](umask 066;openssl genrsa -out /etc/pki/tls/private/test.key 1024)

生成申请文件

[root@centos]openssl req -new -key /etc/pki/tls/private/app.key -day 365 -out /etc/pki/tls/test.csr

填写CA信息(一定要和CA机中填写的一致)

3c8ce6380daa33c267ccb0e2e66a02de.png

3c8ce6380daa33c267ccb0e2e66a02de.png

将 test.csr 文件拷贝到CA机 /tmp 目录下(scp test.csr 172.18.32.1)

在CA机上批准颁发证书

[root@centos]openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100

certs 目录下已经生成证书文件(test.crt)

再拷回客户端就可以了。

第二步:配置Nginx服务器

#nginx1

[root@centos] cd /app

[root@centos]wget http://nginx.org/packages/centos/5/x86_64/RPMS/nginx-1.10.3-1.el5.ngx.x86_64.rpm

[root@centos] yum localinstall nginx-xxxxxx

[root@centos] service nginx start

[root@centos] echo "Test Page" > /usr/share/nginx/html/index.html

#nginx2

[root@centos] cd /app

[root@centos]wget http://nginx.org/packages/centos/5/x86_64/RPMS/nginx-1.10.3-1.el5.ngx.x86_64.rpm

[root@centos] yum localinstall nginx-xxxxxx

[root@centos] service nginx start

[root@centos] echo "Test Page" > /usr/share/nginx/html/index.html

第三步:修改haproxy配置

首先生成一个pem文件供haproxy使用

[root@centos] cat /app/test.crt > test.pem

[root@centos] cat /app/test.key >> test.pem

在修改hapeoxy配置

[root@centos] vim /etc/haproxy/haproxy.cfg

global

log 127.0.0.1 local2

chroot /var/lib/haproxy

pidfile /var/run/haproxy.pid

maxconn 4000

user haproxy

group haproxy

daemon

stats socket /var/lib/haproxy/stats

defaults

mode http

log global

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.0/8

option redispatch

retries 3

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

frontend nginx *:80

bind *:443 ssl crt /app/https.pem

bind *:80

redirect scheme https if !{ ssl_fc } #将所有http协议转为https协议

default_backend web

#acl invalid_src src 192.168.37.130

#http-request allow if invalid_src

backend web

balance roundrobin

server web1 192.168.37.135:80 check

server web2 192.168.37.134:80 check

listen stats

bind :9099

stats enable

stats uri /stats

stats realm HAPorxy\ Stats\ Page

stats auth admin:admin

stats admin if TRUE

stats hide-version

第四步:测试

测试访问http://192.168.37.133

会看到自动跳转到https了,此处会出现未认证证书的报错,忽略即可。

就算把CA证书导入浏览器,因为我们得CA是自己搭建的,是未被互联网信任的,所有仍会在地址前打×,所以,还是去购买一个认证吧。

原创文章,作者:cnc,如若转载,请注明出处:http://www.178linux.com/76212

三年Z组饺纸
关注
Apache HTTP Server实现负载均衡原理解析及实战演练
程序员光剑
08-05 1123
Apache Http服务器是一个开源、免费的Web服务器软件,用于在网络上提供网页服务。它可用于搭建静态网站,也能够响应动态页面请求,提供HTTP代理,支持虚拟主机等功能。最近由于互联网业务的快速发展和爆炸性增长,Apache服务器作为负载均衡服务器得到越来越多的应用,也是目前最流行的Web服务器之一。本文将主要介绍Apache Http服务器的负载均衡实现原理,以及基于其实现负载均衡的配置和实际测试案例。
haproxy安装ssl证书 实现https
08-11 1063
准备: ssl证书可自行购买或去七牛云等平台申请免费证书,这里不再过多介绍。 查看是还支持ssl: haproxy -vv ​ 合成pem证书(申请好的证书下载nginx格式的): cat test.com.crt test.com.key | tee test.com.pem 编辑配置文件(以自己实际配置文件位置为准): vi /etc/haproxy/haproxy.cfg 以下为新增加内容(文件位置,域名等请以自己的为准): #-------------.
烂泥:haproxy学习之https配置
weixin_34071713的博客
11-05 1230
本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb。 在前一段时间,我写了几篇有关学习haproxy的文章。今天我们再来介绍下haproxyhttps配置https协议的好处在此,我们就不就作介绍了。 我们只介绍如何配置https,以及https在实际生产环境中的应用。 PS:本实验全部在haproxy1.5.4版本进行测试通...
Haproxy实现https
最新发布
ouqisheng的博客
08-11 748
haproxy可以实现https的证书安全,从用户到haproxyhttps,从haproxy到后端服务器用http通信 ,但是基于性能考虑,生产中证书都是在后端服务器比如nginx上实现。{ ssl_fc }
HAProxy 之 实现https访问
zam183的博客
08-29 3338
1 概述 启用https将使得服务器的性能大大降低,如果后端的服务器压力较大或者性能不够,启用web server上启用https将对服务器造成更大的压力,但是为了安全的考量,启用https将是非常关键的。所以,这里有个折中的方法,当用户到达haproxy这里的访问是在公网环境,通过https进行访问,而从haproxy到达后端服务器属于企业的局域网中,我们认为是相对安全的,所以通过ha...
HAProxy配置SSL
weixin_30525825的博客
12-29 120
前沿 据悉苹果强制APP在2016年底使用ATS协议,所以公司准备将部分站点http统一替换成https。所有我们就得测试下 1.首先原有的haproxy1.5升级到了1.7版本支持ssl 2.查看相关文档,测试 3.如果站点经过CDN加速,还需要确认CDN是否支持https或者支持是否收取额外费用 4.等等。。。。。。 1.现有环境 2.haproxy代理ssl模式 h...
haproxy https实现
一直在努力学习的菜鸟
04-22 4005
haproxy https实现 haproxy可以实现https的证书安全,从用户到haproxyhttps,从haproxy到后端服务器用http通信。但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现 #配置HAProxy支持https协议,支持ssl会话; bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE #指令crt后证书文件为PEM格式,需要同时包含证书和所有私钥 cat demo.key demo.crt > demo.pem #把
HAProxy的简单使用
dandanfengyun的博客
07-01 2689
HAProxy 概念 Haproxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。Haproxy特别适用于那些负载特大的web站点,这些站点通常又需要会保持或七层处理。Haproxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中,同时可以保护你的web服务器不被暴露到网络上。 HAProxy实现了一种事件驱动, 单一进程模型,此模型支持非常大的并发连接数。多进程或多线程模型受内存限
使用Haproxy搭建Web群集
听风诉寂的博客
01-07 322
          简介 --------------------------------------------------------------------------------------------------------- Haproxy是一个使用C语言编写的自由及开放源代码软件。 Haproxy是开源,免费,快速并且可靠的一种解决方案,他可以运行在大部分主流的Lin...
keepalived+haproxy实现nginx与mysql负载均衡
Celeste7777的博客
10-18 4286
实验环境:操作系统均为CentOS6.4_x86_64,keepalived,ansible,web以,mysql的安装配置,以及RealServer上的arp抑制等请看此前相关博文,这里不再赘述 一、haproxy概述 HAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。HAProxy特别适用于负载特大的web站点,这
Kubernetes集群搭建(高可用)附全自动脚本
以梦为马,不负韶华
04-01 2078
clustercluster是 计算、存储和网络资源的集合,k8s利用这些资源运行各种基于容器的应用。mastermaster是cluster的大脑,他的主要职责是调度,即决定将应用放在那里运行。master运行linux操作系统,可以是物理机或者虚拟机。为了实现高可用,可以运行多个master。nodenode的职责是运行容器应用。node由master管理,node负责监控并汇报容器的状态,同时根据master的要求管理容器的生命周期。node运行在linux的操作系统上,可以是物理机或者是虚拟机。
ha 配置ssl_haproxy 配置SSL
weixin_27719109的博客
01-14 591
yum install haproxyyum install -y openssl openssl-devel readline-devel pcre-devel libssl-dev libpcre3haproxy -vv //查看haproxy是否支持SSL 如果有红色部分则显示为支持haproxy -vvHA-Proxy version 1.5.18 2016/05...
配置HAProxy支持https协议
weixin_30408309的博客
09-03 306
author:JevonWei 版权声明:原创作品 实现http重定向到https HAProxy 创建CA证书 [root@HAProxy ~]# cd /etc/haproxy/ [root@HAProxy haproxy]# mkdir certs [root@HAProxy haproxy]# cd /etc/pki/CA [root@HAProxy CA]# (umask 077;op...
haproxy 负载ssl_在haproxy负载均衡器中配置SSL的教程
weixin_26705651的博客
09-22 342
haproxy 负载sslHi. In this tutorial you will get to know how to implement HTTPS in your servers by using a free certificate from Certbot and implementing it in your Load Balancer with HAProxy. 你好 在本教程中,...
haproxy代理https
weixin_33893473的博客
01-28 703
1. 环境准备 ip 服务 10.0.0.101 haproxy代理 10.0.0.102 httpd 2.安装服务 2.1 首先安装httpd服务 在102服务器关闭firewalld还有selinux.yum install httpd -yyum start httpd 2.2 部署haproxy在101机器部署安装haproxy,关闭firewalld还有selin...
haproxy配置负载均衡(https
m0_46289146的博客
10-17 612
haproxy配置负载均衡(https)一、haproxy介绍二、生成证书服务 一、haproxy介绍 HAProxy 提供高可用性、负载均衡以及基于 TCP 和 HTTP 应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案.HAProxy 特别适用于那些负载特大的 web 站点, 这些站点通常又需要会话保持或七层处理.HAProxy 运行在当前的硬件上,完全可以支持数以万计的并发连接.并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的 web 服务器不被暴露到网络上
CentOS上HAProxy与Stunnel联合部署SSL配置详解
在本文档中,我们将深入探讨在HAProxy(高可用代理)和Stunnel(SSL隧道代理)架构中配置SSL数字证书的详细步骤,适用于一个基于CentOS 6.4操作系统,搭配nginx 1.2.6的测试环境。首先,了解SSL配置的基本原理,SSL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值