haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信 ，但是基于性能考虑,生产中证书都是在后端服务器比如nginx上实现。

配置HAProxy支持https协议，支持ssl会话：

bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE

指令 crt 后证书文件为PEM格式，需要同时包含证书和所有私钥：

cat demo.key demo.crt > demo.pem

把80端口的请求重向定443：

bind *:80 redirect scheme https if !{ ssl_fc }

一、实验环境

haproxy：172.25.254.100

RS1：172.25.254.10

RS2：172.25.254.20

web服务：nginx

关闭防火墙和SELinux

systemctl stop firewalld

setenforce 0

二、实现步骤

1、制作证书

haproxy：

[root@haproxy ~]# mkdir -p /etc/haproxy/certs

[root@haproxy ~]# openssl req -newkey rsa:2048 -nodes -sha256 –keyout /etc/haproxy/certs/ouqisheng.org.key -x509 -days 365 -out /etc/haproxy/certs/ouqisheng.org.crt

[root@haproxy ~]# cat /etc/haproxy/certs/ouqisheng.org.key /etc/haproxy/certs/ouqisheng.org.crt > /etc/haproxy/certs/ouqisheng.pem

2、配置haproxy

vim /etc/haproxy/haproxy.cfg

重启服务：

systemctl restart haproxy.service

3、测试结果

添加本地解析：

vim /etc/hosts

测试：