É possível configurar o Servidor HTTP Apache como um proxy reverso para o Rational DOORS Web
Access. Um servidor proxy reverso fornece uma camada extra de segurança, protege os servidores HTTP na
rede e melhora o desempenho de solicitações Secure Sockets Layer (SSL). Ao usar um
proxy reverso, é possível alterar sua topologia de implementação posteriormente, conforme necessário.
Antes de Iniciar
- Instale o Rational DOORS Web Access, mas não inicie os componentes ou servidor do Rational
DOORS Web Access.
- Instale o Servidor HTTP Apache.
Sobre Esta Tarefa
Um servidor proxy reverso é um servidor HTTP especial que evita o acesso direto ao
servidor HTTP de conteúdo. Todas as solicitações de conteúdo passam por um URI de servidor
proxy reverso publicamente visível e são, então, redirecionadas para o URI do servidor Rational DOORS Web Access
privado.
O uso de um servidor proxy reverso fornece várias vantagens:
- Mudanças futuras na topologia de implementação: Ao usar um proxy reverso em sua
implementação, é possível fornecer um nome de host em sua URL pública independentemente
de em quantas máquinas e números de porta os aplicativos são implementados. Como
resultado, é possível alterar sua topologia de implementação posteriormente.
- Segurança: O servidor proxy reverso fornece uma camada extra de segurança e
pode proteger outros servidores HTTP na rede de comunicação. Se você estiver
usando um firewall entre o servidor proxy reverso e o servidor HTTP de conteúdo,
é possível configurar o firewall para permitir somente solicitações de HTTP a partir
do servidor proxy reverso.
- Desempenho: É possível equipar o servidor proxy reverso com o hardware de aceleração SSL
que pode melhorar o desempenho de solicitações SSL.
Neste procedimento, execute estas etapas:
- Prepare o keystore SSL.
- Modifique os arquivos httpd.conf e
httpd-ssl.conf.
- Inicie o Servidor HTTP Apache.
- Inicie os componentes do Rational DOORS Web Access.
- Inicie o servidor Rational DOORS Web Access.
Procedimento
- Prepare o keystore SSL:
- Crie ou abra seu keystore SSL na ferramenta SSL de Utilitário de Gerenciamento
de Chave IBM (IKeyMan) fornecida.
- Ao salvar seu keystore, selecione a opção para salvar a senha em
um arquivo stash.
- Registre estas informações:
- O rótulo certificado SSL padrão
- O caminho para o arquivo keystore
- O caminho para o arquivo stash
- Configure o Servidor HTTP Apache para processar solicitações SSL editando o
arquivo httpd.conf, que está no
diretório conf na instalação do Apache.
- Remova o comentário destes módulos:
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_ajp_module
modules/mod_proxy_ajp.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
- LoadModule ssl_module modules/mod_ssl.so
- Acesse a seção de configuração SSL, que inicia com #Secure
(SSL/TLS) connections.
- Nessa seção, inclua estas entradas:
#
# reverse proxy
#
SSLProxyEngine On
ProxyPreserveHost On
- Inclua entradas para identificar o domínio do host:
ProxyPass / https://host_domain:DWA_Tomcat_port/
ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
Por exemplo:
ProxyPass / https://private_host.com:7443/
ProxyPassReverse / https://private_host.com:7443/
Nota: Neste
exemplo, a porta de proxy que é visível aos usuários finais está configurada para
8443 e as solicitações de proxy são redirecionadas para a porta 7443 no
servidor private_host. Dependendo de seu
ambiente, as portas que o servidor proxy e o Apache Tomcat estão
configurados para usar podem ser configuradas para valores diferentes para evitar
conflitos de porta.
- Remova o comentário desta linha:
Include conf/extra/httpd-ssl.conf
Para obter mais
informações sobre como configurar proxies reversos, consulte Apache Module mod_proxy na
documentação da Apache Software Foundation.
- Edite o arquivo httpd-ssl.conf, que está no
diretório /conf/extra na instalação do Apache.
- Atualize o nome do host e a porta em que o SSL está configurado.
- Atualize as configurações conforme necessário, incluindo estas configurações:
- SSLCertificateFile
- SSLCertificateKeyFile
Nota: Se o arquivo-chave SSLCertificateKeyFile estiver
protegido por uma senha, a senha deve ser inserida cada vez que o
servidor for iniciado. É possível remover a senha, mas antes antes de fazer isso,
considere as implicações de segurança dessa ação para seu
ambiente.
Para obter mais informações sobre como editar arquivos SSL HTTP,
consulte Apache Core Features e Apache Module mod_ssl na
documentação da Apache Software Foundation.
- Inicie o Servidor HTTP Apache. Quaisquer erros são gravados no
arquivo error.log, que está na instalação do Apache na
pasta /logs.
- Inicie os componentes do Rational DOORS Web Access.
- Inicie o servidor Rational DOORS Web Access.
- Configure a URL pública e a porta do Rational DOORS Web Access para o servidor proxy reverso,
inserindo o comando dbadmin:
dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
Para obter
mais informações sobre o comando dbadmin, consulte Configurando o
servidor de base de dados Rational DOORS.