Настройка Apache HTTP Server в качестве обратного прокси-сервера для Rational DOORS Web Access

Сервер Apache HTTP Server можно настроить в качестве обратного прокси-сервера для Rational DOORS Web Access. Обратный прокси-сервер предлагает дополнительный уровень безопасности, защищает серверы HTTP в сети и повышает производительность обработки запросов Secure Sockets Layer (SSL). В случае применения обратного прокси-сервера топологию развертывания при необходимости можно изменить.

Прежде чем начать

  1. Установите Rational DOORS Web Access, но не запускайте компоненты или сервер Rational DOORS Web Access.
  2. Установите Apache HTTP Server.

Об этой задаче

Обратный прокси-сервер - это специальный сервер HTTP, предотвращающий прямой доступ к сервер HTTP с содержимым. Все запросы информации передаются через общедоступный обратный прокси-сервер и перенаправляются частному серверу Rational DOORS Web Access.
Преимущества применения обратного прокси-сервера:
  • Будущие изменения топологии развертывания: в случае применения обратного прокси-сервера можно указать одно имя хоста в общедоступном URL вне зависимости от числа систем и номеров портов приложений. Такой подход позволяет вносить изменения в топологию развертывания в будущем.
  • Защита: обратный прокси-сервер предлагает дополнительный уровень безопасности и защищает серверы HTTP в сети. Брандмауэр, расположенный между обратным прокси-сервером и сервером HTTP, можно настроить для разрешения только запросов HTTP с обратного прокси-сервера.
  • Производительность: обратный прокси-сервер может использовать аппаратный ускоритель SSL, позволяющий повысить производительность обработки запросов SSL.
В этой процедуре выполняются следующие действия:
  1. Подготовьте хранилище ключей SSL.
  2. Внесите изменения в файлы httpd.conf и httpd-ssl.conf.
  3. Запустите Apache HTTP Server.
  4. Запустите компоненты Rational DOORS Web Access.
  5. Запустите сервер Rational DOORS Web Access.

Процедура

  1. Подготовьте хранилище ключей SSL:
    1. Создайте или откройте хранилище ключей SSL в инструменте SSL IBM Key Management Utility (IKeyMan).
    2. При сохранении хранилища ключей выберите опцию сохранения пароля в файле бумажника.
    3. Запишите следующую информацию:
      • Метка сертификата SSL по умолчанию
      • Путь к файлу хранилища ключей
      • Путь к файлу бумажника
  2. Настройте сервер HTTP Apache для обработки запросов SSL. Для этого внесите изменения в файл httpd.conf, расположенный в каталоге conf экземпляра Apache.
    1. Удалите символы комментария из следующих модулей:
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
      • LoadModule ssl_module modules/mod_ssl.so
    2. Перейдите к разделу конфигурации SSL (#Secure (SSL/TLS) connections).
    3. В этом разделе добавьте следующие записи:
      #
      # reverse proxy
      #
      SSLProxyEngine On
      ProxyPreserveHost On
    4. Добавьте записи для идентификации домена хоста:
      ProxyPass /
      https://домен-хоста:порт-Tomcat-DWA/
      ProxyPassReverse / https://домен-хоста:порт-Tomcat-DWA/
      Пример:
      ProxyPass / https://private_host.com:7443/
      ProxyPassReverse / https://private_host.com:7443/
      Прим.: В этом примере конечным пользователям доступен порт прокси-сервера 8443. Запросы прокси-сервера перенаправляются на порт 7443 сервера частный-хост. В зависимости от среды для прокси-сервера и Apache Tomcat могут быть указаны другие порты, чтобы избежать конфликтов.
    5. Удалите символы комментария из следующей строки:
      Include conf/extra/httpd-ssl.conf
      Дополнительная информация о настройке обратных прокси-серверов приведена в разделе Модуль Apache mod_proxy в документации по Apache Software Foundation.
  3. Внесите изменения в файл httpd-ssl.conf, расположенный в каталоге /conf/extra экземпляра Apache.
    1. Обновите имя хоста и порт SSL.
    2. Обновите требуемые параметры, включая следующие параметры:
      • SSLCertificateFile
      • SSLCertificateKeyFile
      Прим.: Если файл JKS SSLCertificateKeyFile защищен паролем, то этот пароль будет запрашиваться каждый раз при запуске сервера. Пароль можно удалить, однако предварительно рекомендуется рассмотреть последствия этого действия для защиты среды.
      Дополнительная информация об изменении файлов SSL HTTP приведена в разделах Базовые функции Apache и Модуль Apache mod_ssl в документации по Apache Software Foundation.
  4. Запустите Apache HTTP Server. Любые ошибки регистрируются в файле error.log, который расположен в папке /logs установочного каталога Apache.
  5. Запустите компоненты Rational DOORS Web Access.
  6. Запустите сервер Rational DOORS Web Access.
  7. Укажите обратный прокси-сервер для общедоступного URL и номера порта Rational DOORS Web Access с помощью следующей команды dbadmin:
    dbadmin -dwaHost url-обратного-прокси-сервера -dwaPort порт-обратного-прокси-сервера
    Дополнительная информация о команде dbadmin приведена в разделе Настройка сервера базы данных Rational DOORS.

Комментарии