活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

haproxy配置双向认证

虚拟私有云内容安全安全专区
2023-06-03 03:56:20
79
0
一、创建证书存放目录
mkdir /etc/pki/cloudos
cd /etc/pki/cloudos
mkdir ca server client
二、创建CA根证书:

1.生成根证书私钥:

openssl genrsa -out /etc/pki/cloudos/ca/ca.key 1024 -passout pass:cloudOS@123

2.生成根证书:

openssl req -x509 -new -key /etc/pki/cloudos/ca/ca.key -out /etc/pki/cloudos/ca/ca.crt -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}" -passout pass:cloudOS@123
三、创建服务端证书:

1.生成服务端私钥:

openssl genrsa -out /etc/pki/cloudos/server/server.key 1024 -passout pass:cloudOS@123

2.生成服务端证书请求文件:

openssl req -new -key /etc/pki/cloudos/server/server.key -out /etc/pki/cloudos/server/server.csr -passin pass:cloudOS@123 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}"

3.用根证书签发服务端证书请求文件,生成服务端证书:

openssl x509 -req -in /etc/pki/cloudos/server/server.csr -CA /etc/pki/cloudos/ca/ca.crt -CAkey /etc/pki/cloudos/ca/ca.key -CAcreateserial -days 3650 -out /etc/pki/cloudos/server/server.crt

4.Haproxy使用的证书:

cat /etc/pki/cloudos/server/server.key /etc/pki/cloudos/server/server.crt | tee /etc/pki/cloudos/server/server-allinone.pem
四、创建客户端私钥:

1.生成客户端私钥

openssl genrsa -out /etc/pki/cloudos/client/client.key 1024 -passout pass:cloudOS@123
2.生成客户端证书请求文件:
openssl req -new -key /etc/pki/cloudos/client/client.key -out /etc/pki/cloudos/client/client.csr -passin pass:cloudOS@123 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}"

3.用根证书签发客户端证书请求文件,生成客户端证书:

echo -e "y\ny" | openssl ca -in /etc/pki/cloudos/client/client.csr -cert /etc/pki/cloudos/ca/ca.crt -keyfile /etc/pki/cloudos/ca/ca.key -days 3650 -out /etc/pki/cloudos/client/client.crt

4.打包客户端证书和私钥:

openssl pkcs12 -export -in /etc/pki/cloudos/client/client.crt -inkey /etc/pki/cloudos/client/client.key -out /etc/pki/cloudos/client/client.p12 -passin pass:cloudOS@123 -passout pass:cloudOS@123 -name cloud_client
五、配置Haporxy
listen nova_novncproxy
bind {cloud-vip}:6080 ssl crt /etc/pki/cloudos/server/server-allinone.pem ca-file /etc/pki/cloudos/ca/ca.crt verify required

frontend server_console
bind {cloud-vip}:443 ssl crt /etc/pki/cloudos/server/server-allinone.pem ca-file /etc/pki/cloudos/ca/ca.crt verify required


六、本机安装client证书
证书:/etc/pki/cloudos/client/client.p12
密码:cloudOS@123
问题:

  • 报错解决:openssl TXT_DB error number 2 failed to update database

    • 删除/etc/pki/CA/下的index.txt,并再touch

    • 将 common name(CN)设置成不同的

    • 将 index.txt.attr中unique_subject = yes改为unique_subject = no

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
h****n
3文章数
0粉丝数
h****n
3 文章 | 0 粉丝
Ta的热门文章查看更多
haproxy配置双向认证Kubernetes Pod驱逐浅析Openstack下通过QGA实现虚拟机实时监控
h****n
3文章数
0粉丝数
h****n
3 文章 | 0 粉丝
原创

haproxy配置双向认证

虚拟私有云内容安全安全专区
2023-06-03 03:56:20
79
0
一、创建证书存放目录
mkdir /etc/pki/cloudos
cd /etc/pki/cloudos
mkdir ca server client
二、创建CA根证书:

1.生成根证书私钥:

openssl genrsa -out /etc/pki/cloudos/ca/ca.key 1024 -passout pass:cloudOS@123

2.生成根证书:

openssl req -x509 -new -key /etc/pki/cloudos/ca/ca.key -out /etc/pki/cloudos/ca/ca.crt -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}" -passout pass:cloudOS@123
三、创建服务端证书:

1.生成服务端私钥:

openssl genrsa -out /etc/pki/cloudos/server/server.key 1024 -passout pass:cloudOS@123

2.生成服务端证书请求文件:

openssl req -new -key /etc/pki/cloudos/server/server.key -out /etc/pki/cloudos/server/server.csr -passin pass:cloudOS@123 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}"

3.用根证书签发服务端证书请求文件,生成服务端证书:

openssl x509 -req -in /etc/pki/cloudos/server/server.csr -CA /etc/pki/cloudos/ca/ca.crt -CAkey /etc/pki/cloudos/ca/ca.key -CAcreateserial -days 3650 -out /etc/pki/cloudos/server/server.crt

4.Haproxy使用的证书:

cat /etc/pki/cloudos/server/server.key /etc/pki/cloudos/server/server.crt | tee /etc/pki/cloudos/server/server-allinone.pem
四、创建客户端私钥:

1.生成客户端私钥

openssl genrsa -out /etc/pki/cloudos/client/client.key 1024 -passout pass:cloudOS@123
2.生成客户端证书请求文件:
openssl req -new -key /etc/pki/cloudos/client/client.key -out /etc/pki/cloudos/client/client.csr -passin pass:cloudOS@123 -subj "/C=CN/ST=Beijing/L=Beijing/O=cloud/OU=cloud/CN={cloud-vip}"

3.用根证书签发客户端证书请求文件,生成客户端证书:

echo -e "y\ny" | openssl ca -in /etc/pki/cloudos/client/client.csr -cert /etc/pki/cloudos/ca/ca.crt -keyfile /etc/pki/cloudos/ca/ca.key -days 3650 -out /etc/pki/cloudos/client/client.crt

4.打包客户端证书和私钥:

openssl pkcs12 -export -in /etc/pki/cloudos/client/client.crt -inkey /etc/pki/cloudos/client/client.key -out /etc/pki/cloudos/client/client.p12 -passin pass:cloudOS@123 -passout pass:cloudOS@123 -name cloud_client
五、配置Haporxy
listen nova_novncproxy
bind {cloud-vip}:6080 ssl crt /etc/pki/cloudos/server/server-allinone.pem ca-file /etc/pki/cloudos/ca/ca.crt verify required

frontend server_console
bind {cloud-vip}:443 ssl crt /etc/pki/cloudos/server/server-allinone.pem ca-file /etc/pki/cloudos/ca/ca.crt verify required


六、本机安装client证书
证书:/etc/pki/cloudos/client/client.p12
密码:cloudOS@123
问题:

  • 报错解决:openssl TXT_DB error number 2 failed to update database

    • 删除/etc/pki/CA/下的index.txt,并再touch

    • 将 common name(CN)设置成不同的

    • 将 index.txt.attr中unique_subject = yes改为unique_subject = no

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
弹性计算专栏
3 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
  • 天翼云APP
    天翼云APP
  • 天翼云微信公众号
    微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号