haproxy配置自签名双向认证ssl

最新推荐文章于 2024-09-10 09:00:00 发布
原创 最新推荐文章于 2024-09-10 09:00:00 发布 · 4.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos7 haproxy emq ssl 双向认证

本文承接上一篇博文:https://blog.youkuaiyun.com/yin_slin/article/details/81130568

为emq集群前端haproxy配置ssl双向认证,采用的方案为:客户端通过ssl访问haproxy,haproxy转发请求到后端不使用ssl。

一、生成自签名证书:

1、生成根证书私钥:
openssl genrsa -out ca.key 2048 -passout pass:changeit

2、生成根证书
openssl req -x509 -new -key ca.key -out ca.crt -days 36500  -subj "/C=CN/ST=SH/L=SHANGHAI/O=smtc/OU=saicmotor/CN=10.128.147.16" -passout pass:changeit

3、生成客户端私钥
openssl genrsa -out client.key 2048 -passout pass:changeit

4、生成客户端证书请求文件
openssl req -new -key client.key -out client.csr -passin pass:changeit -subj "/C=CN/ST=SH/L=SHANGHAI/O=smtc/OU=saicmotor/CN=10.128.147.23"

5、用根证书签发客户端证书请求文件,生成客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt

6、生成服务端私钥
openssl genrsa -out server.key 2048 -passout pass:changeit

7、生成服务端证书请求文件
openssl req -new -key server.key -out server.csr -passin pass:changeit -subj "/C=CN/ST=SH/L=SHANGHAI/O=smtc/OU=saicmotor/CN=10.128.147.20"

8、用根证书签发服务端证书请求文件,生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

9、打包客户端证书和私钥
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pkcs12 -passin pass:changeit -passout pass:changeit -name client

10、打包服务端证书和私钥
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pkcs12 -passin pass:changeit -passout pass:changeit -name server

11、生成客户端keystore,pkcs12转jks
keytool -importkeystore -srckeystore client.pkcs12 -destkeystore client.jks -srcstoretype pkcs12 -srckeypass changeit -destkeypass changeit -srcstorepass changeit -deststorepass changeit -destalias client -srcalias client

12、生成服务端keystore,pkcs12转jks
keytool -importkeystore -srckeystore server.pkcs12 -destkeystore server.jks -srcstoretype pkcs12 -srckeypass changeit -destkeypass changeit -srcstorepass changeit -deststorepass changeit -destalias server -srcalias server

13、生成客户端的truestore
A、导入根证书
echo y | keytool -importcert -alias ca -file ca.crt -keystore client-trust.jks -storepass changeit

B、导入客户端证书
echo y | keytool -importcert -alias client -file client.crt -keystore client-trust.jks -storepass changeit

14、生成服务端的truestore
A、导入根证书
echo y | keytool -importcert -alias ca -file ca.crt -keystore server-trust.jks -storepass changeit

B、导入服务端证书
echo y | keytool -importcert -alias server -file server.crt -keystore server-trust.jks -storepass changeit

15、将服务端证书和私钥打包成一个pem文件(haproxy使用)
cat server.key server.crt | tee server-allinone.pem

二、配置haproxy:

frontend client-tcp-in
    mode tcp
    option tcplog
    bind 0.0.0.0:8888 ssl crt /opt/ssl/server-allinone.pem ca-file /opt/ssl/ca.crt verify required
    default_backend to-emq-brokers

backend to-emq-brokers
    mode tcp
    balance roundrobin
    server emq-1 10.135.78.20:1883 weight 1 maxconn 1500 inter 2000 check
    server emq-2 10.135.78.23:1883 weight 1 maxconn 1500 inter 2000 check
    server emq-3 10.135.78.54:1883 weight 1 maxconn 1500 inter 2000 check

密码测试
关注
EMQX 配置打开SSL 双向验证
weixin_43869518的博客
06-25 1057
emqx配置打开SSL双向验证
HAProxy终结TLS双向认证代理EMQX集群
架构师实战感悟
09-08 1228
MQTT协议已经成为当前物联网领域的关键技术之一,当前市面上主流的实现MQTT协议的产品主要有 EMQX、Mosquito、NanoMQ等。本文以EMQX开源版为基础,构建 MQTT Broker 集群,并使用 HAProxy代理 MQTT Broker 集群,由 HAProxy 开启双向认证,并终结TLS,HAProxy 到 MQTT Broker 集群的流量采用非加密模式。
haproxy 配置
wenwenxiong的专栏
12-07 1219
软件负载均衡一般通过两种方式来实现:基于操作系统的软负载实现和基于第三方应用的软负载实现。LVS就是基于Linux操作系统实现的一种软负载,HAProxy就是开源的并且基于第三应用实现的软负载。 HAProxy相比LVS的使用要简单很多,功能方面也很丰富。当前,HAProxy支持两种主要的代理模式:"tcp"也即4层(大多用于邮件服务器、内部协议通信服务器等),和7层(HTTP)。 在4层模式
ca 自签名证书 并实现HAProxy https功能
weixin_34129145的博客
12-16 583
  mkdir /etc/ssl/xip.io [root@ha02 haproxy-1.4.26]# openssl genrsa -out /etc/ssl/xip.io/xip.io.key 1024 Generating RSA private key, 1024 bit long modulus ........++++++ ...........++++++ e is 65537 (...
haproxy 证书
pkufergus的专栏
12-25 1730
1 制作haproxy证书 openssl genrsa -des3 -out 33iq.key 2048 openssl rsa -in 33iq.key -out 33iq_nopass.key openssl req -new -key 33iq.key -out 33iq.csr openssl x509 -req -days 365 -in 33iq.csr -signkey
一文掌握Harbor的双向认证实践
最新发布
StevenZeng学堂
09-10 2389
> 本文摘要:本文详细介绍了Harbor的双向认证配置及实践。首先,文章解释了单向认证双向认证的概念及其应用场景,对比了二者的认证流程。接着,通过具体步骤展示了如何在Harbor中配置双向认证,包括证书生成、配置Harbor及Nginx,并提供了详细的验证测试方法,涵盖命令行、浏览器、Docker及Containerd等多种场景。通过本文,帮助读者进一步深入了解和掌握Harbor双向认证配置与验证过程。
c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...
weixin_29187895的博客
05-24 1372
SSL/TLS握手过程可以分成两种类型:1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。这个过程实际上产生三个随机数:client random, server random, ...
HAProxy SSL握手流程】:Windows通信安全的全方位解读
首先概述了SSL握手的基本概念和流程,接着详细介绍了在Windows环境下使用HAProxy进行SSL握手前的必要配置,包括SSL/TLS基础概念的理解和证书、密钥的管理。文章深入解析了SSL握手的具体步骤,HAProxy在其中所扮演的...
HAProxy Windows版SSL加密】:权威指南教你如何保持安全
![【HAProxy Windows版SSL加密】:权威指南教你如何保持安全]...本文首先介绍SSL加密与HAProxy的基本概念,接着深入探讨SSL加密的原理、握手协议以及不同版本的对比和选择。
Nginx变更HTTP2配置过程记录
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-26 6071
背景 最近,业务平台受客户反馈,登录响应很慢,达到50s左右,虽然平台带宽又1G,但是用户上传文件到平台的速率只有40Kb/s左右,业务正常使用受影响严重。 经与研发侧同事沟通,考虑采用http2,因http2再nginx中相较于http1具备较大优势: 环境检查 相关资料表明:openssl的版本必须在1.0.2e及以上、nginx的版本必须在1.9.5以上 如果没有安装的话: ./configure --prefix=/usr/local/nginx --with-openssl=../openss
HAProxy配置SSL
ystyaoshengting的专栏
09-27 1834
转载链接https://www.cnblogs.com/zhanmeiliang/p/6232245.html
Haproxy中的SSL策略
m0_47495420的博客
06-22 573
一、概览haproxy有两种策略支持ssl。1、SSL Termination该策略是在haproxy处终止/解密SSL连接,并将未加密的连接发送到后端服务器的做法。这意味着haprox...
HAProxy中与ssl相关的配置
vanexph的博客
06-15 1888
ssl相关的众多配置项出现在不同的模块,语法中,主要包括global,bind,server等 一、global ca-base {dir} crt-base {dir} ssl-default-bind-ciphers {ciphers} ssl-default-bind-options [{option}]… ssl-default-server-ciphers {ciphers} ssl-default-server-options [{option}]… ssl-sh-param-file {fi
ha 配置ssl_在Haproxy配置多个SSL证书
weixin_33626609的博客
01-17 1336
您可以将所有证书连接到文件中,例如haproxy1.pem和haproxy2.pem,或者您可以指定包含所有pem文件的目录.cat cert1.pem key1.pem > haproxy1.pemcat cert2.pem key2.pem > haproxy2.pem然后在配置上使用这样的东西:defaultslog 127.0.0.1 local0option tcplogfr...
Haproxy关于SSL的各种场景配置
m0_47495420的博客
12-13 1258
此文章翻译自haproxy官方文档:https://www.haproxy.com/blog/ssl-client-certificate-management-at-applicati...
ssl证书双向认证失效的一种解决方案
HRay's blog
08-24 4820
ssl证书双向认证配置可参考http://blog.youkuaiyun.com/hrayha/article/details/46446653 某天突然发现证书认证失效了,所有人访问都校验失败,提示400错误,服务器各项服务都正常,异常的这段时间也没进行过什么操作,起初怀疑nginx的问题,重启了一下,问题依旧,是否为客户端传递证书信息的时候失败了呢,抓包看了下也正常,纠结了一会,同事给出了一个线索,执行
使用Haproxy实现服务器日志支持
ZynCobol的博客
10-01 512
通过配置Haproxy的日志功能,您可以轻松地跟踪和记录服务器的请求和响应信息。在本文中,我们介绍了如何通过编辑Haproxy配置文件来启用日志功能,并演示了如何查看生成的日志文件。根据您的需求,您可以进一步调整日志格式和级别,以满足特定的要求。Haproxy是一款高性能的负载均衡器和反向代理服务器,它能够有效地分发客户端请求到多个后端服务器,并提供强大的负载均衡和高可用性功能。在配置Haproxy时,一个重要的方面是启用日志功能,以便跟踪和记录服务器的请求和响应信息。步骤1:安装和配置Haproxy
emqx emqtt部署安装
qq_45743563的博客
12-14 3124
emqx emqtt集群负载均衡部署安装。
全栈必备 负载均衡
我相信......
10-13 9055
一个了不起的创意会产生一个很棒的产品,如果它一炮走红,你发现手中的是下一个facebook 或者twitter,而且随着用户越来越多,系统变得越来越慢,该怎么办呢?对全栈而言,解决这类问题的一个重要技能就是——负载均衡......
Windows 64位版本haproxy-2.6.5发布,支持SSL和自生成证书
资源摘要信息:"haproxy-2.6.5 for windows 64位 支持ssl" haproxy是一个高性能的、提供四层和七层负载均衡的开源软件。它主要被设计用于在网络应用中提供高可用性、负载均衡和应用层健康检查等功能。haproxy-2.6.5...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值