Configurar HAproxy con SSL Termination en Debian
- abril 27, 2018
- Categoría: clúster linux virtualización
Importante: Esta información es para uso lúdico personal. En ningún caso se pretende dar conocimientos, consejos, formaciones, herramientas, ni soluciones técnicas de ámbito comercial ni profesional. Simplemente es información que se ha redactado en finalidad de recordatorio de ciertos proyectos realizados. Si usted no está seguro de la fiabilidad de la información, no cumple con sus expectativas o no es de su agrado, le ruego que abandone este sitio web. Para ver todas las exclusiones garantía y de responsabilidad acceda a la sección Aviso Legal.
HAproxy puede actuar de dos formas con las conexiones SSL. La primera es enviar el tráfico SSL que recibe a la máquina destino manteniendo el cifrado de la conexión. La segunda opción, es descifrar el conexión SSL y mandar los datos a la máquina destino sin usar cifrado. Esta segunda opción se llama SSL Termination, lógicamente porqué el cifrado termina en el HAproxy.
A continuación se muestra cómo configurar HAproxy con SSL Termination.
Instalar HAproxy
apt-get install haproxy cd /etc/haproxy/ cp haproxy.cfg haproxy.cfg.original
Transformar los certificados en un archivo formato pem. Se necesita el certificado emitido por la entidad certificadora y el key que se ha obtenido cuando se ha generado el csr. No se requieren los certificados intermedios bundle.
cat eninsoft.crt eninsoft.key > eninsoft.pem cp eninsoft.pem /etc/ssl/private/
Habilitar la configuración en HaProxy
vim /etc/haproxy/haproxy.cfg # añadir un frontend con soporte SSL frontend XMLSSL bind *:443 ssl crt /etc/ssl/private/eninsoft.pem mode tcp default_backend XML_server
Reiniciar servicio
/etc/init.d/haproxy restart
Opcional:
global maxconn 2048 # Establece el número de conexiones concurrentes defaults option http-server-close # Reduce la latencia entre haproxy y usuarios cerrando conexión pero manteniendo el keep-alive