É possível configurar o Servidor HTTP Apache como um proxy reverso para o Rational DOORS Web
Access. Um
servidor proxy reverso fornece uma camada extra de segurança, protege servidores HTTP na
rede e melhora o desempenho das solicitações Secure Sockets Layer (SSL). Quando você
uma proxy reverso, é possível alterar sua topologia de implementação posteriormente, conforme necessário.
Antes de Iniciar
- Instale o Rational DOORS Web Access, mas não inicie os componentes ou servidor Rational DOORS Web
Access.
- Instale o Apache HTTP Server.
Sobre Esta Tarefa
Um servidor proxy reverso é um servidor HTTP especial que evita o acesso direto ao
servidor HTTP de conteúdo. Todas as solicitações de conteúdo passam por um URI de servidor proxy reverso
publicamente visível e depois são redirecionadas para o URI do Rational DOORS Web Access server
particular.
O uso de um servidor proxy reverso fornece várias vantagens:
- Mudanças futuras na topologia de implementação: Quando você usa um proxy reservo em sua
implementação, é possível fornecer um nome de host em sua URL pública,
independentemente da quantidade de máquinas e números de porta em que os
aplicativos estão implementados. Como resultado, é possível
alterar sua topologia de implementação posteriormente.
- Segurança: O servidor proxy reverso fornece uma camada extra de segurança e pode
proteger outros servidores HTTP na rede de comunicação. Se você
estiver usando um firewall entre o servidor proxy reverso e o servidor
HTTP de conteúdo, é possível configurar o firewall para permitir somente
solicitações de HTTP do servidor proxy reverso.
- Desempenho: É possível equipar o servidor proxy reverso com hardware de aceleração SSL
que possa melhorar o desempenho de suas solicitações SSL.
Neste procedimento, você executa estas etapas:
- Preparar o keystore SSL.
- Modifique os arquivos httpd.conf e
httpd-ssl.conf.
- Iniciar o Apache HTTP Server.
- Iniciar componentes do Rational DOORS Web Access.
- Iniciar o servidor Rational DOORS Web Access.
Procedimento
- Prepare o keystore SSL:
- Crie ou abra seu keystore SSL na ferramenta SSL de Utilitário de Gerenciamento
de Chave IBM (IKeyMan) fornecida.
- Ao salvar seu keystore, selecione a opção para salvar a senha em
um arquivo stash.
- Registre estas informações:
- O rótulo certificado SSL padrão
- O caminho para o arquivo keystore
- O caminho para o arquivo stash
- Configure o Apache HTTP Server para processar solicitações SSL editando o arquivo
httpd.conf, que está no diretório
conf na instalação do Apache.
- Remova os comentários destes módulos:
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_ajp_module
modules/mod_proxy_ajp.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
- LoadModule ssl_module modules/mod_ssl.so
- Acesse a seção de configuração SSL, que começa com #Conexões
(SSL/TLS) seguras.
- Nessa seção, inclua estas entradas:
#
# proxy reverso
#
SSLProxyEngine On
ProxyPreserveHost On
- Inclua entradas para identificar o domínio do host:
ProxyPass / https://host_domain:DWA_Tomcat_port/
ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
Por exemplo:
ProxyPass / https://private_host.com:7443/
ProxyPassReverse / https://private_host.com:7443/
Nota: Neste
exemplo, a porta de proxy que é visível aos usuários finais está configurada para
8443 e as solicitações de proxy são redirecionadas para a porta 7443 no
servidor private_host. Dependendo de seu
ambiente, as portas que o servidor proxy e o Apache Tomcat estão
configurados para usar podem ser configuradas para valores diferentes para evitar
conflitos de porta.
- Remova o comentário desta linha:
Include conf/extra/httpd-ssl.conf
Para obter mais
informações sobre como configurar proxies reversos, consulte Apache Module mod_proxy na
documentação da Apache Software Foundation.
- Edite o arquivo httpd-ssl.conf, que está no diretório
/conf/extra na instalação do Apache.
- Atualize o nome do host e a porta em que o SSL está configurado.
- Atualize as configurações conforme necessário, incluindo as seguintes:
- SSLCertificateFile
- SSLCertificateKeyFile
Nota: Se o arquivo-chave SSLCertificateKeyFile estiver protegido
por uma senha, a senha deverá ser inserida cada vez
que o servidor for iniciado. É possível remover a senha, mas antes disso,
considere as implicações de segurança dessa ação para o seu
ambiente.
Para obter mais informações sobre como editar arquivos SSL HTTP, consulte
Apache Core Features e Apache Module mod_ssl na documentação
do Apache Software Foundation.
- Iniciar o Apache HTTP Server. Todos os erros são gravados no arquivo
error.log, que está na instalação do Apache na pasta
/logs.
- Iniciar componentes do Rational DOORS Web Access.
- Iniciar o servidor Rational DOORS Web Access.
- Configure a porta e a URL pública do Rational DOORS Web Access para o servidor proxy reverso
inserindo este comando dbadmin:
dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
Para
obter mais informações sobre o comando dbadmin, consulte Configurando o servidor de base de dados
Rational DOORS.