注：haproxy 1.5.0 dev 12 及以上版本原生支持ssl，非原生ssl的配置方法不在本文范圍內(nèi)，本文以centos為例。

一、 生成證書請求

您需要使用CSR生成工具來創(chuàng)建證書請求。

1. 下載AutoCSR：

http://www.itrus.cn/soft/autocsr.rar

2. 生成服務(wù)器證書私鑰及證書請求

運(yùn)行AutoCSR.bat文件，按照操作提示填寫證書注冊信息。

以下是示例信息：

通用名(域名)： test.itrus.com.cn

組織名稱： iTrus China Co.,Ltd.

部門名稱： VTN Support

省市名稱： Beijing

市或區(qū)名： Beijing

3. 備份私鑰并提交證書請求

在程序目錄下，將生成Cert目錄。請妥善保存該目錄下證書私鑰文件server.key，并將證書請求文件certreq.csr提交給聚名。

二、 安裝服務(wù)器證書

1. 獲取服務(wù)器證書文件

將證書簽發(fā)郵件中的包含服務(wù)器證書代碼的文本復(fù)制出來(包括”-----BEGIN CERTIFICATE----“和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中。

為保障服務(wù)器證書在客戶端的兼容性，服務(wù)器證書需要安裝兩張中級CA證書(不同品牌證書，可能只有一張中級證書)。

在服務(wù)器證書代碼文本結(jié)尾，回車換行不留空行，并分別粘貼兩張中級CA證書代碼(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，每串證書代碼之間均需要使用回車換行不留空行)，

將私鑰文件代碼(包括“-----BEGIN RSA PRIVATE KEY-----“和(”-----END RSA PRIVATE KEY----- “)粘貼至最后，每串證書代碼之間均需要使用回車換行不留空行，

修改文件擴(kuò)展名，保存包含四段代碼的文本文件為server.pem文件(如果只有一張中級證書，則只需要粘貼一張中級證書代碼即可)。

2.配置服務(wù)器證書

安裝openssl開發(fā)庫

yum install openssl-devel

下載代碼

wget http://haproxy.1wt.eu/download/1.5/src/devel/haproxy-1.5-dev19.tar.gz

解包后進(jìn)入haproxy目錄進(jìn)行編譯

make TARGET=linux26 USE_OPENSSL=1 ADDLIB=-lz

完成后檢查ssl庫是否正常鏈接

ldd haproxy | grep ssl

如果ssl庫鏈接正常就可以進(jìn)行下一步安裝

make install PREFIX=/usr/local/haproxy

此部分是要安裝到的目標(biāo)目錄

完成后在配置文件的frontend中加入ssl代碼

bind 0.0.0.0:443 ssl crt /usr/local/haproxy/server.pem ciphers HIGH:!aNULL:!MD5

此部分是證書文件，下劃線部分是加密算法限制(非必要,但建議配置)

保存退出，并重啟服務(wù)。

通過https方式訪問您的站點(diǎn)，測試站點(diǎn)證書的安裝配置。

三、 服務(wù)器證書備份與恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您的系統(tǒng)應(yīng)用帶來不便。

1. 服務(wù)器證書的備份

備份服務(wù)器證書私鑰文件server.key，以及服務(wù)器證書文件server.pem即可完成服務(wù)器證書的備份操作。

2. 服務(wù)器證書的恢復(fù)

請參照服務(wù)器證書配置部分，將服務(wù)器證書密鑰文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。