Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。
想改善这个问题吗?更新问题,以便将其作为on-topic用于堆栈溢出。
5年前关闭。
Improve this question
我正在尝试设计一种方法来保护我的HAProxy SSL证书,而这些证书不在磁盘上时处于静止状态,这样,如果负载均衡器主机被黑客入侵,SSL证书就不会在那里被攻击者采摘。
我意识到,至少,证书必须在内存中可用才能被HAProxy用来协商SSL连接。但是,我想尽一切可能确保证书的安全。
如何将ssl-cert目录设置为 protected 和/或加密,并且仅在HAProxy需要信息时(大概在服务启动时)才可供HAProxy使用?
目前,我看到这可以通过两种方式实现。
使用某种linux/* nix文件系统级别的加密。
这意味着修改HAProxy的初始化/启动脚本,以要求磁盘上存在特定的密码或密钥文件。然后使用此密码从加密的存档文件(例如RAR或其他?)中将证书提取到HAProxy/etc/haproxy/certs目录中。 HAproxy服务启动后,使用
创建在不同( super 安全)主机上运行的外部API服务管理层。此服务将存储证书,并编排负载平衡器服务重新启动并重新加载。该服务将在haproxy certs目录上
对于这些想法,任何相关经验或可以实现此安全目标的任何其他方式的反馈,我将不胜感激。
其他资源:
Here is a relevant related question on SO regarding multi-ssl HAproxy.
HAProxy SSL termination documentation
想改善这个问题吗?更新问题,以便将其作为on-topic用于堆栈溢出。
5年前关闭。
Improve this question
我正在尝试设计一种方法来保护我的HAProxy SSL证书,而这些证书不在磁盘上时处于静止状态,这样,如果负载均衡器主机被黑客入侵,SSL证书就不会在那里被攻击者采摘。
我意识到,至少,证书必须在内存中可用才能被HAProxy用来协商SSL连接。但是,我想尽一切可能确保证书的安全。
如何将ssl-cert目录设置为 protected 和/或加密,并且仅在HAProxy需要信息时(大概在服务启动时)才可供HAProxy使用?
目前,我看到这可以通过两种方式实现。
这意味着修改HAProxy的初始化/启动脚本,以要求磁盘上存在特定的密码或密钥文件。然后使用此密码从加密的存档文件(例如RAR或其他?)中将证书提取到HAProxy/etc/haproxy/certs目录中。 HAproxy服务启动后,使用
srm密码/密钥文件以及/etc/haproxy/certs目录。rsync,通过ssh重新启动或重新加载它,然后对certs目录ssh … srm进行安全擦除/etc/haproxy/certs目录。 对于这些想法,任何相关经验或可以实现此安全目标的任何其他方式的反馈,我将不胜感激。
其他资源:
Here is a relevant related question on SO regarding multi-ssl HAproxy.
HAProxy SSL termination documentation
最佳答案
尽管这不是您提出问题的合适论坛,但是这里有一个答案:
只需使用密码保护您的SSL证书即可。
启动HAProxy后,您的SSL库将要求输入密码。
请记住,每次启动/重新启动HAProxy时都需要输入密码。