我有两台 Web 服务器和一台 haproxy 负载均衡器。
我想为我的登录页面设置 SSL 连接。有人能告诉我我需要做的生命周期步骤吗?我可以用单个 SSL 证书做到这一点吗?
答案1
- 购买 SSL 证书
- 确定终止 SSL 的位置。通常使用 Pound 和 stunnel,尽管 HAProxy 的开发版本现在包含 SSL 支持。
- 在您的负载均衡器上安装 pound/stunnel/whatever + 使用 (1) 中的证书对其进行配置。Pound/stunnel/whatever 将在 443 上监听,您可以直接将其传回您的 HAProxy 实例。
- 将所有流量从 HTTP 重定向到 HTTPS 或让您的应用程序了解 SSL。例如,重定向http://foo.com/login到https://foo.com/login(这应该是安全的)。
祝你好运!
答案2
这完全取决于您当前的 haproxy 配置。如果您正在使用依赖于能够检查会话有效负载的东西,那么您要么需要在 haproxy 之前卸载 SSL 进程,要么升级到 haproxy 1.5 以使用它的 SSL 卸载功能。
如果您没有使用任何需要检查有效负载的东西,那么您只需要确保您正在监听端口 443。使用您的 SSL 证书配置 IIS。