您可以将 Apache HTTP Server 配置为 Rational DOORS Web Access 的逆向代理。逆向代理服务器提供额外一层安全性,保护网络中的 HTTP Server,并提高安全套接
字层 (SSL) 请求的性能。使用逆向代理时,可在稍后根据需要更改部署拓扑。
开始之前
- 安装 Rational DOORS Web Access,但不启动 Rational DOORS Web Access 组件或服务器。
- 安装 Apache HTTP Server。
关于此任务
逆向代理服务器是特殊的 HTTP Server,用于阻止对内容 HTTP Server 进行直接访问。对内容的所有请求都将经过公开可视的逆向代理服务器 URI,然后重定向至专用 Rational DOORS Web Access
服务器 URI。
使用逆向代理服务器具有以下几个优点:
- 未来的部署拓扑可更改:当您在部署中使用逆向代理时,可在公共 URL 中提供一个主机名(不管在多少机器和端口号上部署了应用程序)。因此,可在稍后更改部署拓扑。
- 安全性:逆向代理服务器提供额外一层安全性,并可保护通信网络中的其他 HTTP Server。如果在逆向代理服务器和内容 HTTP Server 之间使用防火墙,那么可将防火墙配置为仅允许来自逆向代理服务器的 HTTP 请求。
- 性能:可以为逆向代理服务器配备可提高 SSL 请求性能的 SSL 加速硬件。
在该过程中,执行以下步骤:
- 准备 SSL 密钥库。
- 修改 httpd.conf 和 httpd-ssl.conf 文件。
- 启动 Apache HTTP Server。
- 启动 Rational DOORS Web Access 组件。
- 启动 Rational DOORS Web Access 服务器。
过程
- 准备 SSL 密钥库:
- 在提供的 IBM Key Management Utility (IKeyMan) SSL 工具中创建或打开 SSL 密钥库。
- 保存密钥库时,选择用于将密码保存到存储文件的选项。
- 记录以下信息:
- 缺省 SSL 证书标签
- 密钥库文件的路径
- 存储文件的路径
- 通过编辑 httpd.conf 文件(位于 Apache 安装版中的 conf 目录内)将 Apache HTTP Server 配置为处理 SSL 请求。
- 对以下模块进行取消注释:
- LoadModule proxy_module modules/mod_proxy.so
- LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
- LoadModule proxy_http_module modules/mod_proxy_http.so
- LoadModule ssl_module modules/mod_ssl.so
- 转至 SSL 配置部分,该部分以 #Secure (SSL/TLS) connections 开头。
- 在该部分中,添加以下条目:
#
# 逆向代理
#
SSLProxyEngine On
ProxyPreserveHost On
- 添加用于标识主机域的条目:
ProxyPass / https://host_domain:DWA_Tomcat_port/
ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
例如:ProxyPass / https://private_host.com:7443/
ProxyPassReverse / https://private_host.com:7443/
注: 在该示例中,对最终用户可视的代理端口设置为 8443,而代理请求将重定向至 private_host 服务器上的端口 7443。根据您的环境,代理服务器和 Apache Tomcat 所配置为使用的端口可设置为其他值以避免端口冲突。
- 对以下行进行取消注释:
Include conf/extra/httpd-ssl.conf
有关如何配置逆向代理的更多信息,请参阅 Apache Software Foundation
文档中的 Apache Module mod_proxy。
- 编辑 httpd-ssl.conf 文件(位于 Apache 安装版中的 /conf/extra 目录内)。
- 对配置 SSL 的主机名和端口进行更新。
- 根据需要更新设置,包括以下设置:
- SSLCertificateFile
- SSLCertificateKeyFile
注: 如果 SSLCertificateKeyFile 密钥文件受密码保护,那么每次服务器启动时都必须输入此密码。您可以移除此密码,但请在进行移除之前,考虑此操作对环境安全性的影响。
有关如何编辑 HHTP SSL 文件的更多信息,请参阅 Apache Software Foundation 文档中的 Apache Core Features 和 Apache Module mod_ssl。
- 启动 Apache HTTP Server。任何错误都将写入到 error.log 文件(位于 Apache 安装版中的 /logs 文件夹内)。
- 启动 Rational DOORS Web Access 组件。
- 启动 Rational DOORS Web Access 服务器。
- 通过输入以下 dbadmin 命令将 Rational DOORS Web Access 公共 URL 和端口设置为逆向代理服务器:
dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
有关 dbadmin 命令的更多信息,请参阅配置 Rational DOORS 数据库服务器。