Configurar HAproxy con SSL Termination en Debian
- Categoría: clúster linux virtualización
HAproxy puede actuar de dos formas con las conexiones SSL. La primera es enviar el tráfico SSL que recibe a la máquina destino manteniendo el cifrado de la conexión. La segunda opción, es descifrar el conexión SSL y mandar los datos a la máquina destino sin usar cifrado. Esta segunda opción se llama SSL Termination, lógicamente porqué el cifrado termina en el HAproxy.
A continuación se muestra cómo configurar HAproxy con SSL Termination.
Instalar HAproxy
apt-get install haproxy cd /etc/haproxy/ cp haproxy.cfg haproxy.cfg.original
Transformar los certificados en un archivo formato pem. Se necesita el certificado emitido por la entidad certificadora y el key que se ha obtenido cuando se ha generado el csr. No se requieren los certificados intermedios bundle.
cat eninsoft.crt eninsoft.key > eninsoft.pem cp eninsoft.pem /etc/ssl/private/
Habilitar la configuración en HaProxy
vim /etc/haproxy/haproxy.cfg # añadir un frontend con soporte SSL frontend XMLSSL bind *:443 ssl crt /etc/ssl/private/eninsoft.pem mode tcp default_backend XML_server
Reiniciar servicio
/etc/init.d/haproxy restart
Opcional:
global maxconn 2048 # Establece el número de conexiones concurrentes defaults option http-server-close # Reduce la latencia entre haproxy y usuarios cerrando conexión pero manteniendo el keep-alive