Cara Mengonfigurasi Sertifikat SSL di HAProxy

Terakhir diperbarui pada oleh Dionisie Gitlan
How to Configure an SSL Certificate in HAProxy

HAProxy, penyeimbang beban TCP/HTTP berkinerja tinggi, mendukung penghentian SSL, yang berarti dapat menangani tugas enkripsi dan dekripsi SSL, sehingga mengurangi beban pada server backend.

Artikel ini akan menunjukkan kepada Anda cara mengonfigurasi sertifikat SSL di HAProxy, termasuk, membuat kode CSR (Permintaan Penandatanganan Sertifikat), mendapatkan sertifikat SSL komersial, menggabungkan sertifikat dengan kunci privat, dan mengonfigurasi HAProxy untuk menggunakannya. Jadi mari kita mulai!

Daftar Isi

  1. Hasilkan Kode CSR untuk Sertifikat SSL Anda
  2. Dapatkan Sertifikat SSL Komersial untuk HAProxy
  3. Gabungkan Sertifikat dan Kunci Pribadi
  4. Konfigurasikan Sertifikat SSL PEM di HAProxy

Hasilkan Kode CSR untuk Sertifikat SSL Anda

Sebelum Otoritas Sertifikat dapat menerbitkan sertifikat SSL, diperlukan kode CSR dari Anda untuk memvalidasi kredensial kontak Anda. CSR adalah blok teks kecil yang dikodekan dengan detail yang relevan tentang situs web dan perusahaan Anda. Anda harus membuat dan mengirimkannya selama pendaftaran SSL.

Inilah cara melakukannya:

  1. Buka Terminal: Mengakses antarmuka baris perintah pada server Anda.
  2. Jalankan Perintah OpenSSL: Gunakan perintah OpenSSL berikut ini untuk menghasilkan CSR dan kunci pribadi. Ganti mydomain dengan nama domain Anda yang sebenarnya.

    openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr
  3. Masukkan Informasi yang Diperlukan: Anda akan diminta untuk memasukkan detail seperti:
    • Nama Negara (kode 2 huruf, misalnya AS)
    • Nama Negara Bagian atau Provinsi (misalnya, California)
    • Nama Wilayah (misalnya, San Jose)
    • Nama Organisasi (misalnya, GPI Holding)
    • Nama Unit Organisasi (mis., TI)
    • Nama Umum (misalnya, yourdomain.com)
    • Alamat email
  4. Simpan CSR dan Kunci Pribadi: Perintah ini akan menghasilkan dua berkas: mydomain.csr (CSR) dan mydomain.key (kunci pribadi). Simpan kunci pribadi dengan aman karena akan dibutuhkan nanti.

Dapatkan Sertifikat SSL Komersial untuk HAProxy

Sertifikat SSL komersial dipercaya oleh semua peramban dan sistem operasional. Hasilnya, situs web atau aplikasi Anda tidak akan menghadapi kesalahan koneksi SSL yang mengganggu. Untuk lingkungan produksi, sertifikat semacam itu adalah suatu keharusan. Jika Anda menggunakan HAProxy untuk tujuan pengujian, Anda bisa membuat sertifikat penandatanganan mandiri, tetapi dalam artikel ini, kami akan fokus pada konfigurasi SSL HAProxy untuk lingkungan live.

Untuk mendapatkan sertifikat SSL komersial, ikuti langkah-langkah berikut:

  1. Pilih Otoritas Sertifikat (CA): Pilih CA yang memiliki reputasi baik seperti DigiCert, Comodo, atau GeoTrust.
  2. Pilih Jenis Sertifikat: Pilih jenis sertifikat SSL yang sesuai dengan kebutuhan Anda, seperti sertifikat domain tunggal, wildcard, atau multi-domain (SAN).
  3. Kirimkan CSR: Berikan CSR kepada CA sehingga mereka dapat menerbitkan sertifikat yang cocok dengan kunci privat server Anda.
  4. Beli Sertifikat: Dapatkan sertifikat SSL Anda dari pengecer SSL yang andal seperti SSL Dragon untuk harga dan dukungan pelanggan terbaik.
  5. Proses Validasi: Tergantung pada jenis sertifikat, Anda akan menjalani proses validasi domain, validasi organisasi, atau validasi yang diperpanjang.
  6. Menerima Sertifikat: Setelah validasi, CA akan mengeluarkan file SSL yang diarsipkan dalam folder ZIP.

Gabungkan Sertifikat dan Kunci Pribadi

Setelah Anda menerima sertifikat SSL dari CA, Anda perlu menggabungkannya dengan kunci privat Anda untuk membuat satu berkas yang dapat digunakan HAProxy.

  1. Menyiapkan File: Pastikan Anda memiliki file-file berikut ini:
    • Sertifikat SSL domain Anda (misalnya, mydomain.crt)
    • Kunci pribadi yang dibuat sebelumnya (mydomain.key)
    • Sertifikat perantara yang disediakan oleh CA (misalnya, intermediate.crt). Biasanya, CA mengirimkan sertifikat perantara dalam file CA Bundle.
  2. Menggabungkan berkas: Perintah ini menggabungkan sertifikat, sertifikat perantara, dan kunci privat ke dalam satu berkas PEM.

    cat mydomain.crt intermediate.crt mydomain.key > /etc/haproxy/mydomain.pem

Konfigurasikan Sertifikat SSL PEM di HAProxy

Sekarang setelah Anda memiliki berkas PEM, Anda dapat mengonfigurasi HAProxy untuk menggunakan sertifikat SSL.

Langkah 1: Unggah Sertifikat PEM ke Server HAProxy:

Gunakan perintah scp untuk mengunggah berkas sertifikat PEM ke server HAProxy (ganti sysadmin dan haproxy_server_ip dengan nama pengguna dan alamat IP server jarak jauh):

scp mydomain.pem sysadmin@haproxy_server_ip:/home/sysadmin/

Langkah 2: Buat direktori untuk Sertifikat

Buat direktori di mana file sertifikat PEM akan disimpan:

sudo mkdir -p /etc/ssl/mydomain/
sudo cp mydomain.pem /etc/ssl/mydomain/

Langkah 3: Edit File Konfigurasi HAProxy

Buka berkas konfigurasi HAProxy (secara default terletak di /etc/haproxy/haproxy.cfg) pada editor teks seperti Notepad.

Langkah 4: Konfigurasikan Bagian Frontend

Modifikasi bagian frontend untuk mengaktifkan penghentian SSL dan mengarahkan lalu lintas HTTP ke HTTPS:

frontend http_frontend
mode http
bind *:80
bind *:443 ssl crt /etc/ssl/mydomain/mydomain.pem alpn h2,http/1.1
redirect scheme https code 301 if !{ ssl_fc }
default_backend http_servers

Langkah 5: Tambahkan Parameter SSL/TLS

Untuk memastikan penggunaan versi SSL/TLS yang modern dan aman, tambahkan parameter ssl-min-ver:

bind *:443 ssl crt /etc/ssl/mydomain/mydomain.pem alpn h2,http/1.1 ssl-min-ver TLSv1.2

Arahan ini mendukung protokol HTTP/2 dan HTTP/1.1 dan memberlakukan versi TLS minimum 1.2 untuk koneksi yang aman.

Langkah 6: Konfigurasikan Bagian Backend

Pastikan server backend Anda didefinisikan dengan benar.

backend http_servers
mode http
balance roundrobin
server server1 :80 check
server server2 :80 check

Langkah 7: Mulai ulang HAProxy

Terapkan perubahan dengan memulai ulang layanan HAProxy:

sudo systemctl restart haproxy

Langkah 8: Uji Konfigurasi SSL Anda

Untuk menguji konfigurasi SSL HAProxy Anda, gunakan SSL Labs, dan masukkan nama domain Anda. Alat ini akan memberikan laporan komprehensif tentang pengaturan SSL/TLS Anda, termasuk detail sertifikat dan potensi masalah apa pun.

Kesimpulan

Singkatnya, mempelajari cara mengonfigurasi sertifikat SSL di HAProxy sangat penting untuk mengamankan aplikasi web Anda dan memastikan komunikasi yang andal antara klien dan server. Dengan menyiapkan konfigurasi SSL HAProxy Anda dengan benar, Anda dapat melindungi data sensitif dan meningkatkan keamanan secara keseluruhan. Mengikuti panduan ini akan membantu menerapkan enkripsi yang kuat dan memastikan bahwa situs web Anda beroperasi dengan aman melalui HTTPS, sehingga memberikan pengalaman yang lebih aman bagi pengguna.

Hemat 10% untuk Sertifikat SSL saat memesan hari ini!

Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10

Pesan Sekarang
Ditulis oleh

Penulis konten berpengalaman yang berspesialisasi dalam Sertifikat SSL. Mengubah topik keamanan siber yang rumit menjadi konten yang jelas dan menarik. Berkontribusi untuk meningkatkan keamanan digital melalui narasi yang berdampak.