Puede configurar Apache HTTP Server como un proxy inverso para Rational DOORS Web Access. Un servidor proxy inverso proporciona una capa adicional de seguridad, protege los
servidores HTTP en la red y mejora el rendimiento de las solicitudes SSL (capa de
sockets seguros). Cuando se utiliza un proxy inverso, puede cambiarse la topología
de despliegue más adelante, según se requiera.
Antes de empezar
- Instale Rational DOORS Web Access, pero no inicie los componentes o el servidor
de Rational DOORS Web Access.
- Instale Apache HTTP Server.
Acerca de esta tarea
Un servidor proxy inverso es un servidor HTTP especial que impide el acceso directo al servidor HTTP de contenido. Todas las solicitudes de contenido pasan a
través de un URI de servidor proxy inverso visible públicamente y, a continuación,
se redirigen al URI del servidor de Rational DOORS Web Access privado.
El uso de un servidor proxy inverso proporciona varias ventajas:
- Cambios posteriores de topología de despliegue: si utiliza un proxy inverso en
el despliegue, puede proporcionar un nombre de host en el URL público
independientemente de en cuántas máquinas y números de puerto se despliegan las
aplicaciones. Como resultado, puede cambiar la topología de despliegue más adelante.
- Seguridad: el servidor proxy inverso proporciona una capa adicional de seguridad
y puede proteger a otros servidores HTTP en la red de comunicaciones. Si utiliza un
cortafuegos entre el servidor proxy inverso y el servidor HTTP de contenido, puede
configurar el cortafuegos para permitir únicamente solicitudes HTTP desde el
servidor proxy inverso.
- Rendimiento: puede equipar el servidor proxy inverso con hardware de aceleración
SSL para mejorar el rendimiento de las solicitudes SSL.
En este procedimiento, siga estos pasos:
- Prepare el almacén de claves SSL.
- Modifique los archivos httpd.conf y httpd-ssl.conf.
- Inicie Apache HTTP Server.
- Inicie los componentes de Rational DOORS Web Access.
- Inicie el servidor de Rational DOORS Web Access.
Procedimiento
- Prepare el almacén de claves SSL:
- Cree o abra el almacén de claves SSL en la herramienta SSL del programa de utilidad IKeyMan (IBM Key Management) proporcionado.
- Cuando guarde el almacén de claves, seleccione la opción para guardar la
contraseña como un archivo de ocultación (stash).
- Registre esta información:
- La etiqueta de certificado SSL predeterminada
- La vía de acceso al archivo de almacén de claves
- La vía de acceso al archivo de ocultación (stash)
- Configure Apache HTTP Server para procesar solicitudes SSL editando el archivo
httpd.conf, que se encuentra en el directorio conf de la instalación de Apache.
- Descomente estos módulos:
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_ajp_module
modules/mod_proxy_ajp.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
- LoadModule ssl_module modules/mod_ssl.so
- Vaya a la sección de configuración SSL, que empieza con #Secure
(SSL/TLS) connections.
- En dicha sección, añada estas entradas:
#
# reverse proxy
#
SSLProxyEngine On
ProxyPreserveHost On
- Añada entradas para identificar el dominio de host:
ProxyPass / https://dominio_host:puerto_DWA_Tomcat/
ProxyPassReverse / https://dominio_host:puerto_DWA_Tomcat/
Por ejemplo:
ProxyPass / https://host_privado.com:7443/
ProxyPassReverse / https://host_privado.com:7443/
Nota: En este ejemplo, el puerto de proxy visible para los usuarios finales se ha establecido en 8443 y las solicitudes de proxy se redirigen
al puerto 7443 en el servidor host_privado. En función del
entorno, los puertos configurados para que los utilicen el servidor proxy y Apache
Tomcat se pueden definir en valores diferentes para evitar conflictos de puerto.
- Descomente esta línea:
Include conf/extra/httpd-ssl.conf
Para obtener más información
sobre la configuración de servidores proxy inversos, consulte
Apache
Module mod_proxy en la documentación de Apache Software Foundation.
- Edite el archivo httpd-ssl.conf, que se encuentra en el
directorio /conf/extra de la instalación de Apache.
- Actualice el nombre de host y el puerto en el que se ha configurado SSL.
- Actualice los valores según se requiera, incluidos estos valores:
- SSLCertificateFile
- SSLCertificateKeyFile
Nota: Si el archivo de claves SSLCertificateKeyFile está protegido
mediante una contraseña, la contraseña debe entrarse cada vez que se inicia el
servidor. Puede eliminar la contraseña, pero antes de hacerlo, tenga en cuenta las
implicaciones de seguridad de esta acción en el entorno.
Para obtener más
información sobre cómo editar archivos HTTP SSL, consulte
Apache
Core Features y
Apache
Module mod_ssl en la documentación de Apache Software Foundation.
- Inicie Apache HTTP Server. Los errores se graban en el archivo
error.log, que se encuentra en la instalación de Apache, en la
carpeta /logs.
- Inicie los componentes de Rational DOORS Web Access.
- Inicie el servidor de Rational DOORS Web Access.
- Establezca el URL público y puerto de Rational DOORS Web Access en el servidor
proxy reverso especificando este mandato dbadmin:
dbadmin -dwaHost url_proxy_inverso -dwaPort número_puerto_proxy_inverso
Para
obtener más información sobre el mandato dbadmin, consulte
Configuración del
servidor de base de datos de Rational DOORS.