كيفية تكوين شهادة SSL في HAProxy

كيفية تكوين شهادة SSL في HAProxy

يدعم HAProxy، وهو موازن تحميل TCP/HTTP عالي الأداء، إنهاء SSL، مما يعني أنه يمكنه التعامل مع مهام تشفير وفك تشفير SSL، مما يقلل من الحمل على الخوادم الخلفية.

ستوضح لك هذه المقالة كيفية تكوين شهادة SSL في HAProxy، بما في ذلك، إنشاء رمز CSR (طلب توقيع الشهادة)، والحصول على شهادة SSL تجارية، ودمج الشهادة مع المفتاح الخاص، وتكوين HAProxy لاستخدامها. لذلك دعونا نبدأ!


جدول المحتويات

  1. إنشاء رمز CSR لشهادة SSL الخاصة بك
  2. احصل على شهادة SSL تجارية لـ HAProxy
  3. دمج الشهادة والمفتاح الخاص
  4. تكوين شهادة SSL PEM SSL في HAProxy

إنشاء رمز CSR لشهادة SSL الخاصة بك

قبل أن يتمكن المرجع المصدق من إصدار شهادة SSL، فإنه يحتاج إلى رمز CSR منك للتحقق من صحة بيانات اعتماد جهة الاتصال الخاصة بك. CSR عبارة عن كتلة نصية صغيرة مشفرة تحتوي على تفاصيل ذات صلة بموقعك الإلكتروني وشركتك. يجب عليك إنشاؤه وإرساله أثناء تسجيل SSL.

إليك كيفية القيام بذلك:

  1. افتح محطة طرفية: قم بالوصول إلى واجهة سطر الأوامر على الخادم الخاص بك.
  2. قم بتشغيل الأمر OpenSSL: استخدم الأمر OpenSSL التالي لإنشاء CSR ومفتاح خاص. استبدل اسم النطاق الخاص بي باسم نطاقك الفعلي.

    opensl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr
  3. أدخل المعلومات المطلوبة: سيُطلب منك إدخال تفاصيل مثل:
    • اسم البلد (رمز مكون من حرفين، مثل الولايات المتحدة)
    • اسم الولاية أو المقاطعة (مثل كاليفورنيا)
    • اسم المنطقة (على سبيل المثال، سان خوسيه)
    • اسم المؤسسة (على سبيل المثال، GPI Holding)
    • اسم الوحدة التنظيمية (على سبيل المثال، تكنولوجيا المعلومات)
    • الاسم الشائع (على سبيل المثال، yourdomain.com)
    • عنوان البريد الإلكتروني
  4. احفظ CSR والمفتاح الخاص: سيُنشئ الأمر ملفين: mydomain.csr (CSR) و mydomain.key (المفتاح الخاص). احتفظ بالمفتاح الخاص آمنًا حيث ستحتاج إليه لاحقًا.

احصل على شهادة SSL تجارية لـ HAProxy

شهادات SSL التجارية موثوق بها من قبل جميع المتصفحات والأنظمة التشغيلية. ونتيجة لذلك، لن تواجه مواقعك الإلكترونية أو تطبيقاتك أخطاء اتصال SSL المزعجة. بالنسبة لبيئة الإنتاج، فإن مثل هذه الشهادات ضرورية. إذا كنت تستخدم HAProxy لأغراض الاختبار، فيمكنك إنشاء شهادة ذاتية التوقيع، ولكن في هذه المقالة، سنركز على تكوين HAProxy SSL للبيئات المباشرة.

للحصول على شهادة SSL تجارية، اتبع الخطوات التالية:

  1. اختر مرجعًا مصدقًا (CA): اختر مرجعًا مصدقًا ذا سمعة طيبة مثل DigiCert أو Comodo أو GeoTrust.
  2. حدد نوع الشهادة: اختر نوع شهادة SSL التي تناسب احتياجاتك، مثل شهادة ذات نطاق واحد أو بطاقة البدل أو شهادة متعددة النطاقات (SAN).
  3. إرسال CSR: قم بتوفير CSR إلى المرجع المصدق المرجعي المصدق (CA) حتى يتمكنوا من إصدار شهادة تطابق المفتاح الخاص لخادمك.
  4. اشترِ الشهادة: احصل على شهادة SSL الخاصة بك من موزع SSL موثوق به مثل SSL Dragon للحصول على أفضل الأسعار ودعم العملاء.
  5. عملية التحقق من الصحة: اعتمادًا على نوع الشهادة، ستخضع لعملية التحقق من صحة المجال أو التحقق من صحة المؤسسة أو عملية التحقق الموسعة.
  6. استلام الشهادة: بعد التحقق، سيصدر المرجع المصدق (CA) ملفات SSL المؤرشفة في مجلد ZIP.

دمج الشهادة والمفتاح الخاص

بمجرد استلام شهادة SSL الخاصة بك من المرجع المصدق (CA)، تحتاج إلى دمجها مع مفتاحك الخاص لإنشاء ملف واحد يمكن لـ HAProxy استخدامه.

  1. جهز الملفات: تأكد من أن لديك الملفات التالية:
    • شهادة SSL الخاصة بنطاقك (على سبيل المثال، mydomain.crt)
    • المفتاح الخاص الذي تم إنشاؤه مسبقًا (مفتاح mydomain.key)
    • أي شهادات وسيطة مقدمة من CA (على سبيل المثال، intermediate.crt). وعادةً ما يرسل المرجع المصدق (CA) الشهادات الوسيطة في ملف حزمة CA.
  2. ادمج الملفات: يقوم هذا الأمر بدمج الشهادة والشهادة الوسيطة والمفتاح الخاص في ملف PEM واحد.

    cat mydomdomain.crt intermediate.crt mydomain.key > /etc/haproxy/mydomain.pem

تكوين شهادة SSL PEM SSL في HAProxy

والآن بعد أن أصبح لديك ملف PEM، يمكنك تكوين HAProxy لاستخدام شهادة SSL.

الخطوة 1: قم بتحميل شهادة PEM إلى خادم HAProxy:

استخدم الأمر scp لتحميل ملف شهادة PEM إلى خادم HAProxy (استبدل sysadmin و haproxy_server_ip باسم مستخدم الخادم البعيد وعنوان IP على التوالي):

scp mydomain.pem sysadmin@haproxy_server_server_ip:/home/sysadmin/

الخطوة 2: إنشاء دليل للشهادة

قم بإنشاء دليل حيث سيتم تخزين ملف الشهادة PEM:

sudo mkdir -p / p /etc/ssl/mydomain/
sudo cp mydomain.pem /etc/ssl/mydomain/

الخطوة 3: تحرير ملف تكوين HAProxy

افتح ملف تهيئة HAProxy (الموجود افتراضيًا في /etc/haproxy/haproxy.cfg) في محرر نصوص مثل Notepad.

الخطوة 4: تكوين قسم الواجهة الأمامية

قم بتعديل قسم الواجهة الأمامية لتمكين إنهاء SSL وإعادة توجيه حركة مرور HTTP إلى HTTPS:

الواجهة الأمامية http_frontend
الوضع http
ربط *:80
ربط *:443 ssl crt /etc/ssl/mydomain/mydomain.pem alpn h2,http/1.1
إعادة توجيه مخطط https code 301 إذا كان !{ ssl_fc }
الافتراضي_خلفية http_server

الخطوة 5: إضافة معلمات SSL/TLS

لضمان استخدام إصدارات SSL/TLS الحديثة والآمنة، أضف معلمة ssl-min-ver:

الربط *:443 ssl crt /etc/ssl/mydomain/mydomain.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2

يدعم هذا التوجيه بروتوكولي HTTP/2 و HTTP/1.1 ويفرض إصدار TLS بحد أدنى 1.2 للاتصالات الآمنة.

الخطوة 6: تكوين قسم الواجهة الخلفية

تأكد من تعريف الخوادم الخلفية بشكل صحيح.

الواجهة الخلفية http_خوادم
الوضع http
الرصيد الرصيد الدائري
الخادم الخادم 1 :80 تحقق
الخادم 2 :80 تحقق

الخطوة 7: إعادة تشغيل HAProxy

قم بتطبيق التغييرات عن طريق إعادة تشغيل خدمة HAProxy:

sudo systemctl systemctl إعادة تشغيل haproxy

الخطوة 8: اختبر تكوين SSL الخاص بك

لاختبار إعداد HAProxy SSL الخاص بك، استخدم أداة SSL Labs، وأدخل اسم نطاقك. ستقدم الأداة تقريراً شاملاً عن إعداد SSL/TLS الخاص بك، بما في ذلك تفاصيل الشهادة وأي مشاكل محتملة.


الخاتمة

باختصار، إن تعلم كيفية تكوين شهادة SSL في HAProxy أمر ضروري لتأمين تطبيقات الويب الخاصة بك وضمان اتصال موثوق بين العملاء والخوادم. من خلال الإعداد الصحيح لتكوين HAProxy SSL الخاص بك، يمكنك حماية البيانات الحساسة وتعزيز الأمن العام. يساعد اتباع هذه الإرشادات على تنفيذ تشفير قوي ويضمن أن موقعك الإلكتروني يعمل بأمان عبر HTTPS، مما يوفر تجربة أكثر أماناً لمستخدميك.

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.