HAPROXY原生SSL配置

HAPROXY原生SSL配置

注：haproxy 1.5.0 dev 12 及以上版本原生支持ssl，非原生ssl的配置方法不在本文范围内

本文以centos为例

安装openssl开发库

yum install openssl-devel

下载代码

wget http://haproxy.1wt.eu/download/1.5/src/devel/haproxy-1.5-dev19.tar.gz

解包后进入haproxy目录进行编译

make TARGET=linux26 USE_OPENSSL=1 ADDLIB=-lz

完成后检查ssl库是否正常链接

ldd haproxy | grep ssl

如果ssl库链接正常就可以进行下一步安装

make install PREFIX=/usr/local/haproxy

黄色部分是要安装到的目标目录

完成后在配置文件的frontend中加入ssl代码

bind 0.0.0.0:443 ssl crt /usr/local/haproxy/cert.pem ciphers HIGH:!aNULL:!MD5

黄色部分是证书文件（必要）

红色部分是加密算法限制（非必要,但建议配置）

证书文件为证书邮件里的服务器证书，中级证书，交叉证书合并为一个文件（与nginx所使用的证书文件一样)，然后在最后加上key代码。

其余配置与普通http配置一样