Certificat SSL
Présentation
Haproxy est en charge de
- la terminaison SSL ;
- du HTTP/2 ;
- de la sécurité des connexions ;
- du routage évolué.
| Rôle | Répartiteur de charge |
|---|---|
| Gestion des certificats Let’s Encrypt ou custom sur architecture Multi | Une sonde vérifie que le service répond ainsi que les backends |
| Privilège super-utilisateur | reload/restart via synchroGS |
Certificat SSL
Certificat payant
Les certificats SSL doivent être déposés dans le dossier /home/admin{custcode}/ssl/hap/ sous la forme d’un fichier conteneur certificat.pem. Attention le fichier {certificat}.pem doit être la concaténation du certificat de votre domaine, du certificat intermédiaire et de la clef privée.
Gratuit avec Let’s encrypt
Avant execution du script ci-dessous, il est impératif de vérifier que le domaine pointe bien sur l’adresse ip serveur ou bien celle du loadbalancer.
Règles
Création avec haple.sh
!!! Attention !!! par robustesse, choisissez de multiplier les certificats plutôt que d’ajouter pleins de domaines à un seul et unique certificat, car en cas d’anomalie de renouvellement sur un des domaines, le certificat entier ne serait pas renouvelé.
Exemple de création d’un certificat avec le script /usr/local/bin/haple.sh par l’utilisateur admin :
sudo /usr/local/bin/haple.sh create email@mondomaine.com www.mondomaine.org
Renouvellement
Vous n’aurez jamais besoin de lancer le renouvellement mais voici la commande
sudo /usr/local/bin/haple.sh renew
Par cron
Vous devez ajouter cette commande dans votre crontab pour que le renouvellement se fasse automatiquement.
Exemple
0 2 * * 1,5 sudo /usr/local/bin/haple.sh renew > /dev/null
Dans l’exemple ci-dessus, à deux heures du matin, chaque semaine, les lundi et vendredi, une tâche de renouvellement sera lancée.
Suppression
sudo certbot --config-dir=ssl/ delete --cert-name toto.com
puis synchronisation avec le slave
sudo synchroGS -r haproxy