Cài SSL trên HAProxy giúp bảo vệ kết nối giữa người dùng và server bằng cách mã hóa dữ liệu. Quá trình cài đặt bao gồm việc chuẩn bị chứng chỉ SSL dưới dạng file PEM, cấu hình HAProxy để ghi nhận trên cổng 443. Sau khi kiểm tra và khởi động lại HAProxy, website của bạn sẽ hoạt động an toàn qua giao thức HTTPS, đảm bảo tính bảo mật và tin cậy cho người dùng. VinaHost sẽ hướng dẫn chi tiết cách cài SSL trên HAProxy trong bài viết sau.

1. Chuẩn bị bộ chứng chỉ số SSL

HAProxy yêu cầu chứng chỉ SSL dưới dạng một file PEM. Nếu bạn có các file riêng biệt như certificate.crt, private.key, và ca_bundle.crt, bạn cần kết hợp chúng thành một file PEM duy nhất trước khi cài SSL trên HAProxy.

cai ssl tren haproxy — Chuẩn bị file trước khi cài SSL trên HAProxy

Sử dụng lệnh sau để gộp các file thành file PEM:

cat certificate.crt private.key ca_bundle.crt > /etc/haproxy/ssl/mydomain.pem

Đảm bảo rằng file PEM này có quyền truy cập chính xác:

chmod 600 /etc/haproxy/ssl/mydomain.pem

2. Kiểm tra HAProxy đã hỗ trợ SSL hay chưa

Nếu bạn chưa cài đặt HAProxy, bạn có thể cài đặt bằng cách sử dụng lệnh sau trên hệ điều hành Linux (Ubuntu/Debian):

sudo apt update
sudo apt install haproxy

Chạy lệnh sau để kiểm tra phiên bản HAProxy:

haproxy -vv

Nếu kết quả trả về có thông tin như sau, điều đó có nghĩa là HAProxy đã hỗ trợ SSL:

HA-Proxy version 1.6.3 2015/12/25
[…]
Built with OpenSSL version : OpenSSL 1.0.1e 11 Feb 2013
Running on OpenSSL version : OpenSSL 1.0.1e 11 Feb 2013
OpenSSL library supports TLS extensions : yes
OpenSSL library supports SNI : yes
OpenSSL library supports prefer-server-ciphers : yes

Ngược lại, nếu kết quả là:

HA-Proxy version 1.6.3 2015/12/25
[…]
Built with OpenSSL version : not set

thì bạn cần phải cấu hình lại HAProxy để hỗ trợ SSL.

3. Tiến hành cấu hình SSL cho HAProxy

Để cài SSL trên HAProxy, trước tiên, bạn mở file cấu hình HAProxy (/etc/haproxy/haproxy.cfg) và chỉnh sửa như sau:

Thêm frontend hỗ trợ SSL: Trong phần frontend, thêm cấu hình sau để HAProxy ghi nhận kết nối HTTPS:

frontend https-in
    bind *:443 ssl crt /etc/haproxy/ssl/mydomain.pem (Đây là đường dẫn tới tập tin pem đã tạo ở bước 1)
    mode http
    default_backend servers

Cấu hình backend: Để định tuyến các yêu cầu đến các server phía sau:

backend servers
    mode http
    balance roundrobin
    server server1 192.168.1.10:80 check
    server server2 192.168.1.11:80 check

4. Kiểm tra SSL của bạn đã hoạt động hay chưa

Sau khi cấu hình xong, kiểm tra lại cú pháp file cấu hình:

sudo haproxy -f /etc/haproxy/haproxy.cfg -c

Nếu không có lỗi, khởi động lại HAProxy để áp dụng thay đổi:

sudo systemctl restart haproxy

Lúc này, quá trình cài SSL trên HAProxy đã hoàn thành. Để kiểm tra, bạn mở trình duyệt và truy cập website của bạn. Nếu cấu hình đúng, bạn sẽ thấy kết nối được mã hóa và bảo mật bằng SSL.

Lưu ý:

Đảm bảo rằng bạn đã cài đặt và sử dụng chứng chỉ hợp lệ được phát hành bởi CA đáng tin cậy.
Có thể cần cấu hình tường lửa để mở cổng 443 nếu đang sử dụng firewall.

5. Kết

Việc cài SSL trên HAProxy không chỉ giúp bảo mật kết nối giữa người dùng và server mà còn nâng cao hiệu quả vận hành của hệ thống. Khi cấu hình đúng cách, website của bạn sẽ được bảo vệ bởi giao thức HTTPS, tăng cường niềm tin từ người dùng. Đảm bảo kiểm tra kỹ lưỡng quá trình cài đặt và sử dụng chứng chỉ hợp lệ để tránh các rủi ro bảo mật. Đừng ngần ngại liên hệ với Vinahost để được tư vấn chi tiết các dịch vụ hoặc theo dõi thêm nhiều bài viết liên quan khác tại đây.