如何在 CentOS/RHEL 8 上使用 Hitch 为 Varnish Cache 启用 HTTPS？

---

在当今的互联网安全世界中，为您的网站启用 HTTPS 至关重要，以确保用户数据的隐私和安全。实现此目标的一种方法是使用 Varnish Cache 和 Hitch（一个轻量级的 TLS 代理）来卸载 Varnish 的 SSL/TLS 处理。

在本文中，我们将指导您完成在 CentOS/RHEL 8 上使用 Hitch 为 Varnish Cache 启用 HTTPS 的过程。

先决条件

在开始之前，请确保您拥有以下内容：

• 一台 CentOS/RHEL 8 服务器

• 服务器的 root 访问权限

• 已安装 Varnish Cache 和 Hitch

• 有效的 SSL/TLS 证书和私钥

如果您尚未安装 Varnish Cache 和 Hitch，您可以按照以下命令进行安装：

sudo dnf install varnish hitch

步骤 1：配置 Hitch

首先，我们需要配置 Hitch 以侦听某个端口并将请求转发到 Varnish Cache。为此，我们将创建一个新的配置文件 /etc/hitch/hitch.conf。

在您喜欢的文本编辑器中打开文件：

sudo nano /etc/hitch/hitch.conf

将以下内容添加到文件中：

# Listen on port 443
frontend = "[*]:443"

# Forward requests to Varnish Cache
backend = "[::1]:6081"

# Use the SSL/TLS certificate and private key
pem-file = "/path/to/your/certificate.pem"

将 /path/to/your/certificate.pem 替换为您 SSL/TLS 证书和私钥的路径。

保存并关闭文件。

步骤 2：配置 Varnish Cache

接下来，我们需要配置 Varnish Cache 以使用 Hitch 作为其 SSL/TLS 代理。

在您的文本编辑器中打开 Varnish Cache 配置文件 /etc/varnish/varnish.params：

sudo nano /etc/varnish/varnish.params

将以下内容添加到文件中：

# Use Hitch as the SSL/TLS proxy
VARNISH_BACKEND_PORT=8443
VARNISH_BACKEND_SSL=on
VARNISH_BACKEND_SSL_VERIFY_PEER=on
VARNISH_BACKEND_TLS_CERT=/path/to/your/certificate.pem
VARNISH_BACKEND_TLS_KEY=/path/to/your/certificate.pem

将 /path/to/your/certificate.pem 替换为您 SSL/TLS 证书和私钥的路径。

保存并关闭文件。

步骤 3：重新启动服务

最后，重新启动 Hitch 和 Varnish Cache 服务以应用新的配置：

sudo systemctl restart hitch
sudo systemctl restart varnish

虽然上述步骤足以在 CentOS/RHEL 8 上使用 Hitch 为 Varnish Cache 启用 HTTPS，但您可以执行一些其他操作来进一步增强网站的安全性。

使用证书颁发机构 (CA)

与其使用自签名 SSL/TLS 证书，不如考虑使用受信任的证书颁发机构 (CA) 颁发的证书。这将提高您网站在用户眼中的可信度，并防止在他们的浏览器中出现警告消息。

您可以从受信任的 CA 获取证书，方法是从商业提供商处购买或使用 Let's Encrypt 等免费 CA。

实施 HSTS

HTTP 严格传输安全 (HSTS) 是一项安全功能，它指示 Web 浏览器仅在指定时间段内通过 HTTPS 与您的网站通信。这可以防止降级攻击并提高网站的整体安全性。

要实施 HSTS，请将以下标头添加到您的 Hitch 配置文件中：

# Enable HSTS for 1 year
tls-protos = TLSv1.2
ciphers = "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
hsts = on
hsts-max-age = 31536000
hsts-include-subdomains = on

这将启用 HSTS 1 年，并包含所有子域。

实施 OCSP 装订

在线证书状态协议 (OCSP) 装订是一项安全功能，允许服务器从 CA 获取其 SSL/TLS 证书的吊销状态并将其提供给客户端。这可以通过减少检查证书吊销状态所需的时间来提高网站的性能和安全性。

要实施 OCSP 装订，请将以下行添加到您的 Hitch 配置文件中：

# Enable OCSP Stapling
ocsp-dir = "/var/lib/hitch/ocsp"
verify-ocsp = on

这将启用 OCSP 装订并将响应存储在 /var/lib/hitch/ocsp 目录中。

通过实施这些额外的安全功能，您可以进一步增强网站的安全性及可信度。

以下是一些您可以采取的其他步骤来优化 Varnish Cache 和 Hitch 的性能：

使用 HTTP/2

HTTP/2 是 HTTP 协议的主要修订版，它显着提高了网页的性能。它支持服务器推送、多路复用和标头压缩等功能，这些功能可以减少请求数量并提高网站的加载速度。

要使用 HTTP/2，您需要在 Varnish Cache 和 Hitch 中启用它。方法如下：

在 Varnish Cache 中，将以下行添加到 /etc/varnish/varnish.params 文件中：

# Enable HTTP/2
VARNISH_LISTEN_PORT=80,8080 v1

在 Hitch 中，将以下行添加到 /etc/hitch/hitch.conf 文件中：

# Enable HTTP/2
alpn-protos = h2,h2c,http/1.1

完成这些更改后，重新启动 Varnish Cache 和 Hitch 服务：

sudo systemctl restart varnish
sudo systemctl restart hitch

缓存静态内容

缓存静态内容（如图像、CSS 和 JavaScript 文件）可以显着提高网站的性能。通过在 Varnish Cache 中缓存这些文件，您可以减少请求数量并加快用户的加载时间。

要在 Varnish Cache 中缓存静态内容，您需要将以下行添加到 Varnish Cache 配置文件 (/etc/varnish/default.vcl) 中：

# Cache static content for 1 day
sub vcl_recv {
   if (req.url ~ "\.(jpg|jpeg|gif|png|bmp|ico|pdf|flv|swf|css|js)(\?.*|)$") {
      unset req.http.Cookie;
      set req.url = regsub(req.url, "\?.*$", "");
      set req.http.static = "YES";
      if (req.request == "GET") {
         return (hash);
      }
      return (pass);
   }
}

sub vcl_backend_response {
   if (bereq.http.static == "YES") {
      set beresp.ttl = 1d;
   }
}

这将缓存静态内容 1 天，并绕过其他请求的缓存。

监控性能

最后，监控网站的性能并根据需要进行调整非常重要。您可以分别使用 Varnishstat 和 Hitchstats 工具来监控 Varnish Cache 和 Hitch 的性能。

要使用 Varnishstat，请运行以下命令：

varnishstat

要使用 Hitchstats，请运行以下命令：

hitch-stats --frontend=127.0.0.1:8443

这些工具将为您提供有关网站性能的宝贵见解，并帮助您确定改进的领域。

通过遵循这些步骤，您可以优化 Varnish Cache 和 Hitch 的性能，并为用户提供快速且安全的浏览体验。

结论

在本文中，我们向您展示了如何在 CentOS/RHEL 8 上使用 Hitch 为 Varnish Cache 启用 HTTPS。通过将 SSL/TLS 处理卸载到 Hitch，我们提高了网站的性能和安全性。请务必保护您的 SSL/TLS 证书和私钥的安全并保持最新，以确保用户数据的持续安全。