Apache HTTP Server als Reverse Proxy für Rational DOORS Web Access konfigurieren

Sie können Apache HTTP Server als Reverse Proxy für Rational DOORS Web Access konfigurieren. Ein Reverse-Proxy-Server stellt eine zusätzliche Sicherheitsebene bereit, schützt HTTP-Server im Netz und verbessert die Leistung von SSL-Anforderungen. Wenn Sie einen Reverse Proxy verwenden, können Sie die Implementierungstopologie später nach Bedarf ändern.

Vorbereitende Schritte

  1. Installieren Sie Rational DOORS Web Access, aber starten Sie nicht die Komponenten oder den Server von Rational DOORS Web Access.
  2. Installieren Sie Apache HTTP Server.

Informationen zu diesem Vorgang

Ein Reverse-Proxy-Server ist ein besonderer HTTP-Server, der den direkten Zugriff auf den HTTP-Inhaltsserver verhindert. Alle Anforderungen für Inhalt werden über die öffentlich sichtbare URI des Reverse-Proxy-Servers geleitet und anschließend an die private URI des Rational DOORS Web Access-Servers umgeleitet.
Die Verwendung eines Reverse-Proxy-Servers bietet eine Reihe von Vorteilen:
  • Zukünftige Änderungen an der Implementierungstopologie: Wenn Sie in der Implementierung einen Reverse Proxy verwenden, können Sie in der öffentlichen URL einen Hostnamen angeben, der von der Anzahl der Maschinen und Portnummern unabhängig ist, die für die Anwendungen implementiert sind. Somit ist es möglich, die Implementierung später zu ändern.
  • Sicherheit: Der Reverse-Proxy-Server stellt eine zusätzliche Sicherheitsebene bereit und kann weitere HTTP-Server im Kommunikationsnetz schützen. Wenn Sie eine Firewall zwischen dem Reverse-Proxy-Server und dem HTTP-Inhaltsserver verwenden, können Sie die Firewall so konfigurieren, dass nur HTTP-Anforderungen vom Reverse-Proxy-Server zulässig sind.
  • Leistung: Sie können den Reverse-Proxy-Server mit einer SSL-Beschleunigungshardware ausstatten, die die Leistung von SSL-Anforderungen verbessern kann.
In der folgenden Prozedur führen Sie die folgenden Schritte aus:
  1. Vorbereiten des SSL-Keystores.
  2. Ändern der Dateien httpd.conf und httpd-ssl.conf.
  3. Starten von Apache HTTP Server.
  4. Starten der Rational DOORS Web Access-Komponenten.
  5. Starten des Rational DOORS Web Access-Servers.

Vorgehensweise

  1. Bereiten Sie den SSL-Keystore vor:
    1. Erstellen oder öffnen Sie den SSL-Keystore im bereitgestellten SSL-Tool IBM Key Management Utility (IKeyMan).
    2. Wählen Sie beim Speichern des Keystore die Option zum Speichern des Kennworts als Stashdatei aus.
    3. Zeichnen Sie die folgenden Informationen auf:
      • Die SSL-Standardzertifikatsbezeichnung
      • Den Pfad zur Keystore-Datei
      • Den Pfad zur Stashdatei
  2. Konfigurieren Sie Apache HTTP Server für die Verarbeitung von SSL-Anforderungen; bearbeiten Sie hierzu die Datei httpd.conf, die sich im Verzeichnis conf in der Apache-Installation befindet.
    1. Entfernen Sie die Kommentarzeichen für die folgenden Module:
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
      • LoadModule ssl_module modules/mod_ssl.so
    2. Wechseln Sie zum Abschnitt der SSL-Konfiguration, der mit #Secure (SSL/TLS) connections beginnt.
    3. Fügen Sie in diesem Abschnitt die folgenden Einträge hinzu:
      #
      # Reverse Proxy
      #
      SSLProxyEngine On
      ProxyPreserveHost On
    4. Fügen Sie Einträge zum Angeben der Hostdomäne hinzu:
      ProxyPass / https://host_domain:DWA_Tomcat_port/
      ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
      Beispiel:
      ProxyPass / https://private_host.com:7443/
      ProxyPassReverse / https://private_host.com:7443/
      Anmerkung: In diesem Beispiel wird für den Proxy-Port, der für Endbenutzer sichtbar ist, der Wert 8443 festgelegt und Anforderungen des Proxys werden an Port 7443 auf dem Server private_host umgeleitet. Abhängig von Ihrer Umgebung können für Ports, die für die Verwendung durch den Proxy-Server und Apache Tomcat konfiguriert sind, abweichende Werte festgelegt werden, damit Portkonflikte vermieden werden.
    5. Entfernen Sie die Kommentarzeichen in der folgenden Zeile:
      Include conf/extra/httpd-ssl.conf
      Weitere Informationen zum Konfigurieren von Reverse Proxys finden Sie unter Apache Module mod_proxy in der Dokumentation der Apache Software Foundation.
  3. Bearbeiten Sie die Datei httpd-ssl.conf im Verzeichnis /conf/extra in der Apache-Installation.
    1. Aktualisieren Sie den Hostname und den Port, der für SSL konfiguriert ist.
    2. Aktualisieren Sie die Einstellungen bei Bedarf, einschließlich der folgenden Einstellungen:
      • SSLCertificateFile
      • SSLCertificateKeyFile
      Anmerkung: Wenn die Schlüsseldatei SSLCertificateKeyFile durch ein Kennwort geschützt ist, muss das Kennwort bei jedem Start des Servers eingegeben werden. Sie können das Kennwort entfernen, sollten vorher jedoch die Auswirkungen dieser Aktion auf die Sicherheit in Ihrer Umgebung berücksichtigen.
      Informationen zum Bearbeiten von HTTP-SSL-Dateien finden Sie unter Apache-Kernfunktionen und unter Apache Module mod_ssl in der Dokumentation der Apache Software Foundation.
  4. Starten Sie Apache HTTP Server. Alle Fehler werden in die Datei error.log geschrieben, die sich in der Apache-Installation im Ordner /logs befindet.
  5. Starten Sie die Rational DOORS Web Access-Komponenten.
  6. Starten Sie den Rational DOORS Web Access-Server.
  7. Legen Sie die öffentliche URL und den Port von Rational DOORS Web Access zum Reverse-Proxy-Server durch Eingeben des folgenden dbadmin-Befehls fest:
    dbadmin -dwaHost url_des_reverse-proxy -dwaPort portnumber_des_reverse-proxy
    Weitere Informationen zum Befehl dbadmin finden Sie unter Rational DOORS-Datenbankserver konfigurieren.

Feedback