18.4. HAProxy에 대한 SSL/TLS 암호화 및 규칙 변경

오버클라우드에서 SSL/TLS를 활성화한 경우 HAProxy 구성에 사용되는 SSL/TLS 암호화 방식 및 규칙 강화를 고려하십시오. SSL/TLS 암호를 강화함으로써 POODLE 취약점과 같은 SSL/TLS 취약점을 방지할 수 있습니다.

  1. tls-ciphers.yaml 이라는 heat 템플릿 환경 파일을 생성합니다. 

    touch ~/templates/tls-ciphers.yaml

  2. 환경 파일의 ExtraConfig 후크를 사용하여 tripleo::haproxy::ssl_cipher_suitetripleo::haproxy::ssl_options hieradata에 값을 적용합니다. 

    parameter_defaults:
  ExtraConfig:
    tripleo::haproxy::ssl_cipher_suite: 'DHE-RSA-AES128-CCM:DHE-RSA-AES256-CCM:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305'

    tripleo::haproxy::ssl_options: 'no-sslv3 no-tls-tickets'
    참고

    암호화 방식 컬렉션은 연속된 한 행으로 되어 있습니다.

  3. 오버클라우드를 배포할 때 overcloud deploy 명령을 사용하여 tls-ciphers.yaml 환경 파일을 포함합니다. 

    openstack overcloud deploy --templates \
...
-e /home/stack/templates/tls-ciphers.yaml
...