CentOS上HAProxy与Stunnel联合部署SSL配置详解

在本文档中，我们将深入探讨在HAProxy（高可用代理）和Stunnel（SSL隧道代理）架构中配置SSL数字证书的详细步骤，适用于一个基于CentOS 6.4操作系统，搭配nginx 1.2.6的测试环境。首先，了解SSL配置的基本原理，SSL功能主要依赖于OpenSSL模块，用于证书的申请和私钥的生成。 1. 生成数字证书请求（CSR）： 使用openssl工具生成CSR（Certificate Signing Request），在填写相关信息时，确保准确无误，包括但不限于域名、组织信息等。CSR生成后，会得到两个关键文件：一个CSR文件用于向证书颁发机构提交，另一个是私钥文件，需妥善保管。 2. 证书颁发： 证书颁发机构收到CSR后，会生成服务器证书，并通过邮件附带一个包含证书链的编码。你需要复制这个编码，将其转换为.crt格式，如`server.crt`。 3. 证书链绑定： 将已下载的中间证书（即证书链）与服务器证书和私钥合并，生成`server.pem`文件。这一步骤通过命令`cat server.key server.crt > server.pem`实现，确保私钥与服务器证书的安全结合。 4. Stunnel的SSL配置： 在`/usr/local/etc/stunnel/stunnel.conf`文件中，你需要配置SSL模块，指定使用的私钥和证书文件。确保配置正确，例如设置正确的证书路径、监听端口等。 5. 重启和测试： 重启Stunnel服务，然后通过访问`https://www.example.com:443`来测试SSL配置是否生效。由于测试环境中的域名与证书上的域名不匹配，可能会出现红色告警，但这是正常的，只要实际域名与配置文件中的域名一致，问题就会解决。 总结来说，本文档详细阐述了在HAProxy和Stunnel环境中配置SSL证书的流程，从生成CSR、获取和合并证书、配置Stunnel到验证其工作状态，为读者提供了一套完整的操作指南，以便在实际项目中部署安全的HTTPS连接。