HAProxy作为一款高性能的负载均衡器，广泛应用于各类Web服务架构中。在HTTPS普及的今天，为HAProxy配置SSL证书以提供安全的加密通信成为必备技能。本文将详细介绍在HAProxy中配置SSL证书的完整流程，包括证书准备、配置文件修改、高级设置及故障排查，帮助你快速实现HTTPS加密通信。

一、SSL证书准备工作

在开始配置HAProxy之前，需要准备好合适的SSL证书。根据使用场景不同，证书的来源和格式可能有所差异。

1. 证书类型选择

• 商业证书：由知名CA机构（如Let's Encrypt、DigiCert、Symantec等）签发，可信度高，适合生产环境。其中Let's Encrypt提供免费证书，有效期3个月，可通过工具自动续期。
• 自签名证书：适合测试环境，由用户自行生成，不被浏览器默认信任，可能会触发安全警告。

2. 证书文件格式转换

HAProxy要求SSL证书和私钥存储在同一文件中，且需要PEM格式。通常我们获取的证书可能包含多个文件，需要进行合并处理：

• 典型的证书文件包括：私钥文件（.key）、证书文件（.crt）、中间证书（.ca-bundle 或 .chain.crt）
• 合并命令：

1    cat server.key server.crt intermediate.crt > haproxy.pem

> 注意：文件合并顺序很重要，必须是先私钥，再服务器证书，最后是中间证书

3. 证书文件存放

建议将合并后的PEM文件存放在安全的目录，如：

1    sudo mkdir -p /etc/haproxy/certs
2    sudo cp haproxy.pem /etc/haproxy/certs/
3    sudo chmod 600 /etc/haproxy/certs/haproxy.pem   # 限制权限，增强安全性
4    sudo chown haproxy:haproxy /etc/haproxy/certs/haproxy.pem

二、基础SSL配置步骤

假设你已经安装了HAProxy，下面是配置SSL证书的基本步骤：

1. 编辑HAProxy配置文件

通常HAProxy的配置文件位于 /etc/haproxy/haproxy.cfg ，使用文本编辑器打开：

1    sudo vim /etc/haproxy/haproxy.cfg

2. 配置frontend部分

在frontend部分添加HTTPS监听，指定证书路径：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem
3        mode http
4        default_backend web_servers
5     
6        # 可选：将HTTP请求重定向到HTTPS
7        redirect scheme https code 301 if !{ ssl_fc }

3. 配置backend部分

backend部分配置与普通HTTP配置类似，无需特别修改：

1    backend web_servers
2        mode http
3        balance roundrobin
4        server web1 192.168.1.10:80 check
5        server web2 192.168.1.11:80 check

4. 验证配置并重启HAProxy

1    # 验证配置文件正确性
2    sudo haproxy -c -f /etc/haproxy/haproxy.cfg
3
4    # 重启HAProxy使配置生效
5    sudo systemctl restart haproxy
6    # 或
7    sudo service haproxy restart

三、高级SSL配置选项

为了增强安全性和兼容性，可以配置更多高级选项：

1. 配置SSL协议和加密套件

限制只使用安全的SSL协议和加密套件：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem \
3            ssl-min-ver TLSv1.2 \
4            ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 \
5            ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
6        mode http
7        default_backend web_servers

2. 配置多个域名证书

如果需要为多个域名配置不同证书，可以：

• 将所有证书合并到一个PEM文件（每个证书前添加 subjectAltName ）
• 或者使用目录模式，让HAProxy自动加载目录中的所有证书：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/  # 注意这里指向目录
3        mode http
4        default_backend web_servers

每个域名的证书应单独保存为一个PEM文件，文件名格式为 domain.com.pem 。

3. 配置SSL会话复用

启用SSL会话复用可以减少CPU消耗，提高性能：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem \
3            ssl-max-ver TLSv1.3 \
4            ssl-reuse yes \
5            ssl-session-ticket no \
6            ssl-session-cache shared:SSL:10m \
7            ssl-session-timeout 1d
8        mode http
9        default_backend web_servers

4. 配置OCSP stapling

OCSP stapling可以提高SSL握手性能，同时保护用户隐私：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem \
3            ssl-ocsp-cache /etc/haproxy/ocsp_cache dir size=100000 max-age=24h
4        mode http
5    
6        # 添加OCSP响应头
7        http-response set-header Strict-Transport-Security "max-age=31536000; includeSubDomains"
8        default_backend web_servers

5. 配置HSTS

HSTS可以强制浏览器使用HTTPS连接：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem
3        mode http
4        http-response set-header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
5        default_backend web_servers

四、SSL终止与SSL直通

HAProxy提供两种处理SSL的模式：

1. SSL终止（SSL Termination）

这是最常用的模式，HAProxy解密HTTPS流量，然后以HTTP方式与后端服务器通信：

1    frontend https_front
2        bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem
3        mode http
4        # 向后端传递原始协议信息
5        http-request set-header X-Forwarded-Proto https
6        http-request set-header X-Forwarded-Port 443
7        default_backend web_servers
8
9    backend web_servers
10      mode http
11      server web1 192.168.1.10:80 check

优点：减少后端服务器的SSL处理负担，HAProxy可以检查HTTP内容并做出更智能的负载均衡决策。

2. SSL直通（SSL Passthrough）

HAProxy不对SSL流量进行解密，直接转发给后端服务器，由后端服务器处理SSL：

1    frontend https_front
2        bind *:443
3        mode tcp
4        default_backend ssl_servers
5
6    backend ssl_servers
7        mode tcp
8        balance roundrobin
9        server web1 192.168.1.10:443 check
10      server web2 192.168.1.11:443 check

优点：SSL解密工作由后端服务器处理，适合需要端到端加密的场景。

五、证书自动更新配置

对于Let's Encrypt等短期证书，需要配置自动更新机制：

1. 使用certbot获取和更新证书：

1    sudo certbot certonly --standalone -d example.com -d www.example.com

2. 创建证书更新后自动合并PEM文件的脚本 /etc/letsencrypt/renewal-hooks/post/haproxy.sh ：

1    #!/bin/bash
2    # 合并证书文件
3    cat /etc/letsencrypt/live/example.com/privkey.pem \
4        /etc/letsencrypt/live/example.com/fullchain.pem \
5        > /etc/haproxy/certs/haproxy.pem
6
7    # 设置权限
8    chmod 600 /etc/haproxy/certs/haproxy.pem
9    chown haproxy:haproxy /etc/haproxy/certs/haproxy.pem
10
11  # 重新加载HAProxy配置
12  systemctl reload haproxy

3. 赋予脚本执行权限：

1    sudo chmod +x /etc/letsencrypt/renewal-hooks/post/haproxy.sh

4. 测试自动更新：

1    sudo certbot renew --dry-run

六、配置验证与故障排查

1. 验证SSL配置

1    # 检查HAProxy配置
2    haproxy -c -f /etc/haproxy/haproxy.cfg
3
4    # 检查SSL证书信息
5    openssl x509 -in /etc/haproxy/certs/haproxy.pem -noout -text
6
7    # 测试SSL连接
8    openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

2. 常见问题解决

• 证书加载失败：检查文件权限、路径是否正确，证书格式是否为PEM
• SSL握手失败：检查协议版本和加密套件是否兼容，证书链是否完整
• HAProxy启动失败：查看日志 /var/log/haproxy.log 或 journalctl -u haproxy 获取详细错误信息
• 浏览器警告：检查证书是否过期，域名是否匹配，中间证书是否正确配置

3. 使用在线工具检测

可以使用以下在线工具检查SSL配置是否正确：

• SSL Labs SSL Test (https://www.ssllabs.com/ssltest/)
• SSL Checker (https://www.sslshopper.com/ssl-checker.html)
• Qualys SSL Labs (https://www.ssllabs.com)

七、安全最佳实践

1. 定期更新证书：设置提醒或自动更新机制，避免证书过期

2. 使用强加密算法：禁用不安全的SSLv3、TLSv1.0和TLSv1.1，使用现代加密套件

3. 保护私钥安全：严格限制私钥文件的访问权限，避免泄露

4. 启用HSTS：强制浏览器使用HTTPS，防止降级攻击

5. 定期安全审计：使用在线工具检查SSL配置，及时修复安全漏洞

6. 备份证书文件：定期备份证书和私钥，防止意外丢失

通过以上步骤，你可以在HAProxy中成功配置SSL证书，为你的Web服务提供安全的HTTPS加密通信。根据实际需求选择合适的配置方案，并遵循安全最佳实践，确保服务的安全性和可靠性。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!