haproxy https实现

最新推荐文章于 2024-02-27 16:39:30 发布
最新推荐文章于 2024-02-27 16:39:30 发布
阅读量3.9k 收藏
点赞数
分类专栏: Linux运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51867896/article/details/124336542
版权

haproxy https实现

haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信。但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现

#配置HAProxy支持https协议,支持ssl会话;
	bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE
	
#指令crt后证书文件为PEM格式,需要同时包含证书和所有私钥
	cat demo.key demo.crt > demo.pem

#把80端口的请求重向定443
	bind *:80
	redirect scheme https if !{ ssl_fc }
	
#向后端传递用户请求的协议和端口(frontend或backend)
	http_request set-header X-Forwarded-Port %[dst_port]
	http_request add-header X-Forwared-Proto https if { ssl_fc }

1证书制作

[root@haproxy ~]#cd /etc/pki/tls/certs/
[root@haproxy certs]#mkdir /etc/haproxy/conf.d/ssl
[root@haproxy certs]#vim Makefile
%.key:
    umask 77 ; \
    #/usr/bin/openssl genrsa -aes128 $(KEYLEN) > $@
    /usr/bin/openssl genrsa  $(KEYLEN) > $@

[root@haproxy certs]#make /etc/haproxy/conf.d/ssl/www.linux2022.com.crt
umask 77 ; \
#/usr/bin/openssl genrsa -aes128 2048 > /etc/haproxy/conf.d/ssl/www.linux2022.com.key
/usr/bin/openssl genrsa  2048 > /etc/haproxy/conf.d/ssl/www.linux2022.com.key
Generating RSA private key, 2048 bit long modulus
.................................................+++
............................+++
e is 65537 (0x10001)
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key /etc/haproxy/conf.d/ssl/www.linux2022.com.key -x509 -days 365 -out /etc/haproxy/conf.d/ssl/www.linux2022.com.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:guangdong
Locality Name (eg, city) [Default City]:guangzhou
Organization Name (eg, company) [Default Company Ltd]:linux2022
Organizational Unit Name (eg, section) []:it
Common Name (eg, your name or your server's hostname) []:www.linux2022.com
Email Address []:

[root@haproxy certs]#cd /etc/haproxy/conf.d/ssl/
[root@haproxy ssl]#ls
www.linux2022.com.crt  www.linux2022.com.key
[root@haproxy ssl]#cat www.linux2022.com.key www.linux2022.com.crt > www.linux2022.com.pem

2 https配置

[root@haproxy ssl]#cd ..
[root@haproxy conf.d]#ls
ssl  test.cfg
[root@haproxy conf.d]#vim test.cfg
listen ha1_https_443
    bind 10.0.0.7:80
    bind 10.0.0.7:443 ssl crt /etc/haproxy/conf.d/ssl/www.linux2022.com.pem
    redirect scheme https if !{ ssl_fc }
    http-request set-header X-forwarded-Port %[dst_port]
    http-request add-header X-forwarded-Proto https if { ssl_fc }
    balance roundrobin
    server rs1 10.0.0.17:80 check inter 3000 fall 2 rise 5
    server rs2 10.0.0.27:80 check inter 3000 fall 2 rise 5

[root@haproxy conf.d]#systemctl restart haproxy.service
[root@haproxy conf.d]#ss -ntl
State      Recv-Q Send-Q              Local Address:Port                             Peer Address:Port
LISTEN     0      128                             *:9999                                        *:*
LISTEN     0      128                      10.0.0.7:80                                          *:*
LISTEN     0      128                             *:22                                          *:*
LISTEN     0      100                     127.0.0.1:25                                          *:*
LISTEN     0      128                      10.0.0.7:443                                         *:*
LISTEN     0      128                          [::]:22                                       [::]:*
LISTEN     0      100                         [::1]:25                                       [::]:*

3 修改后端服务器的日志格式

[root@rs1 html]#vim /etc/httpd/conf/httpd.conf
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{X-forwarded-Port}i\" \"%{X-forwarded-Proto}i\"" combined
[root@rs1 html]#httpd -t
[root@rs1 html]#systemctl restart httpd.service

[root@rs2 html]#vim /etc/httpd/conf/httpd.conf
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{X-forwarded-Port}i\" \"%{X-forwarded-Proto}i\"" combined
[root@rs2 html]#httpd -t
[root@rs2 html]#systemctl restart httpd.service

4 验证https

[root@rs1 ~]#cd /var/www/html
[root@rs1 html]#hostname -I > index.html
[root@rs1 html]#cat index.html
10.0.0.17
[root@rs2 ~]#cd /var/www/html
[root@rs2 html]#cat index.html
10.0.0.27

[root@client ~]#cat /etc/hosts
10.0.0.7 www.linux2022.com
[root@client ~]#curl -k https://10.0.0.7
10.0.0.17
[root@client ~]#curl -k https://10.0.0.7
10.0.0.27
[root@client ~]#curl -k https://10.0.0.7
10.0.0.17
[root@client ~]#curl -k https://10.0.0.7
10.0.0.27

[root@client ~]#curl -Ik https://10.0.0.7
HTTP/1.1 200 OK
date: Thu, 21 Apr 2022 23:56:52 GMT
server: Apache/2.4.6 (CentOS)
last-modified: Tue, 19 Apr 2022 13:49:35 GMT
etag: "a-5dd0225b759a2"
accept-ranges: bytes
content-length: 10
content-type: text/html; charset=UTF-8

[root@client ~]#curl -ILk http://10.0.0.7
HTTP/1.1 302 Found
content-length: 0
location: https://10.0.0.7/
cache-control: no-cache

HTTP/1.1 200 OK
date: Thu, 21 Apr 2022 23:55:11 GMT
server: Apache/2.4.6 (CentOS)
last-modified: Tue, 19 Apr 2022 13:49:35 GMT
etag: "a-5dd0225b759a2"
accept-ranges: bytes
content-length: 10
content-type: text/html; charset=UTF-8

5 查看后端服务器的访问日志

[root@rs1 html]#tail /var/log/httpd/access_log -f
10.0.0.7 - - [22/Apr/2022:08:10:22 +0800] "GET / HTTP/1.1" 200 11 "-" "curl/7.58.0" "443" "https"

[root@rs2 html]#tail /var/log/httpd/access_log -f
10.0.0.7 - - [22/Apr/2022:08:10:23 +0800] "GET / HTTP/1.1" 200 10 "-" "curl/7.58.0" "443" "https"
一直在努力学习的菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Haproxy 实现负载均衡
01-28
使用 haproxy实现在 http request 的负载均衡,将对负载均衡器的请 求分发到其所对应的 web 服务器。
Haproxy_https.zip
03-31
该版本是基于haproxy 1.8.24版本加强版,支持对https的转发,并包含cfg配置文件样式,只需要将自定义证书对应的pem文件放到文件夹中,然后对cfg根据需求进行设置便可实现基于https为服务器入口转发内网http的负载...
HAproxy 1.5 中使用 SSL 证书 【已翻译100%】(1/2)
weixin_34061042的博客
06-02 252
概述 如果你的应用使用SSL证书,则需要决定如何在负载均衡器上使用它们。 单服务器的简单配置通常是考虑客户端SSL连接如何被接收请求的服务器解码。由于负载均衡器处在客户端和更多服务器之间,SSL连接解码就成了需要关注的焦点。 有两种主要的策略。 SSL终端是在负载均衡器终止/解码SSL连接并发送非加密连接到后台服务器的做法 这意味着负载均衡器负责解码SS...
haproxyhttp和https同源代理配置步骤
02-27 409
配置HAProxy以处理HTTP和HTTPS的同源代理需要进行一些设置。,因为在TCP代理模式下,HAProxy无需解密和重新加密HTTPS流量,而是直接将整个TLS流量传递给后端服务器。替换为你实际的后端服务器地址和端口。同时,你可能需要配置SSL证书和其他安全性设置,具体取决于你的使用场景。在实际使用中,请根据你的环境和需求进行适当的调整。监听端口443并将流量代理到HTTPS后端。监听端口80并将流量代理到HTTP后端,请注意,HTTPS代理使用了。
HAProxy实现https访问
zam183的博客
08-29 3254
1 概述 启用https将使得服务器的性能大大降低,如果后端的服务器压力较大或者性能不够,启用web server上启用https将对服务器造成更大的压力,但是为了安全的考量,启用https将是非常关键的。所以,这里有个折中的方法,当用户到达haproxy这里的访问是在公网环境,通过https进行访问,而从haproxy到达后端服务器属于企业的局域网中,我们认为是相对安全的,所以通过ha...
Haproxy实现多域名证书HTTPS
weixin_33755554的博客
12-05 415
前面讲到,使用Nginx实现多域名证书HTTPS(http://fengwan.blog.51cto.com/508652/1719708),通过重新编译Nginx实现TLS SNI Support打开,那么使用Haproxy如何实现呢?要求:Haproxy必须要1.5以上的版本第一步:openssl的安装tarzxfopenssl-0.9.8zh.tar.gz cdo...
烂泥:haproxy学习之https配置
weixin_34071713的博客
11-05 1190
本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb。 在前一段时间,我写了几篇有关学习haproxy的文章。今天我们再来介绍下haproxyhttps配置,https协议的好处在此,我们就不就作介绍了。 我们只介绍如何配置https,以及https在实际生产环境中的应用。 PS:本实验全部在haproxy1.5.4版本进行测试通...
haproxy负载均衡&配置http+https负载集群
m0_69852463的博客
10-11 404
编译安装haproxy,详细阅读INSTALL,里面有安装操作。地址栏加上8189端口号和haproxy_stats。然后就可以用man帮助文档查看haproxy。然后要生成证书,并在所有后端服务器上安装证书。创建存放haproxy配置文件的目录。首先要,配置用于测试的https页面。登陆的用户名和密码都是:admin。创建haproxy文件开机自启。查看haproxy的版本号。设置开机自启haproxy。创建haproxy用户。配置各个负载的内核参数。重启haproxy服务。使配置的参数立即生效。
Haproxy代理配置SSL证书的方法
SSL加密技术
10-20 2900
Haproxy代理SSL证书配置方法: 1、生成创建证书链: 这里要用到颁发给您的服务器证书、中级根证书、私钥文件合成一个文件,首先创建一个名为 server.pem 的空文本文档, 然后依次将 (服务器证书) 、(中级根证书) 、(私钥文件)三个文件以文本方式打开, 将其中全部内容 (包括 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行分隔)依次复制到新建的 server.pem 文档中。 完成
haproxy 负载均衡&配置http+https负载集群实战
博主很懒~
10-12 1601
HAProxy的工作原理是通过分析传入的请求,并使用配置的规则来决定如何处理请求。HAProxy还支持会话保持,它可以确保具有相同会话标识符的请求都被发送到同一个后端服务器,以确保用户的一致性体验。HAProxy是一个免费的负载均衡软件,可以运行于大部分主流的Linux操作系统上(CentOS、Ubuntu、Debian、OpenSUSE、Fedora、麒麟、欧拉、UOS)。Haproxy 是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。
haproxy代理后端https网站
06-29
haproxy代理后端https网站
Haproxy实现企业级服务器的负载均衡
10-16
Haproxy实现企业级服务器的负载均衡
haproxy安装部署
最新发布
03-05
haproxy版本:haproxy-2.9.4.tar.gz
SSL证书安装配置指南(Haproxy for Linux)
SSL知识库
08-24 360
注:haproxy 1.5.0 dev 12 及以上版本原生支持ssl,非原生ssl的配置方法不在本文范围内,本文以centos为例。 一、 生成证书请求 您需要使用CSR生成工具来创建证书请求。 2.生成服务器证书私钥及证书请求 运行AutoCSR.bat文件,按照操作提示填写证书注册信息。 以下是示例信息: 通用名(域名): www.ert7.com 组织名称: iTrus China Co.,Ltd. 部门名称: VTN Support 省市名称: ...
ha 配置ssl_在Haproxy中配置多个SSL证书
weixin_33626609的博客
01-17 1037
您可以将所有证书连接到文件中,例如haproxy1.pem和haproxy2.pem,或者您可以指定包含所有pem文件的目录.cat cert1.pem key1.pem > haproxy1.pemcat cert2.pem key2.pem > haproxy2.pem然后在配置上使用这样的东西:defaultslog 127.0.0.1 local0option tcplogfr...
haproxy证书替换
haiziccc的专栏
04-23 1115
证书都有有效期,需要定期进行更换,更换步骤如下: cd /etc/haproxy //进入/etc/haproxy目录 ls //找到待更换证书名称 cp apps.com.cer apps..com.cer.bak //备份证书 上传新证书 systemctl restart haproxy //重启haproxy服务 systemctl status haproxy //查看ha...
haproxy负载均衡&配置http+https负载集群实战
LcWanf的博客
10-09 286
haproxy基本理论和haproxy配置http+https负载集群实战
支持https的windows版haproxy
01-29
通过使用HAProxy,可以实现HTTPS流量的转发和负载均衡。在配置文件中,可以指定前端监听端口,并指定要使用的证书和私钥。HAProxy可以根据配置的算法和规则,将接收到的HTTPS请求转发到后端服务器。 Windows版...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直在努力学习的菜鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值