将 Apache HTTP Server 配置为 Rational DOORS Web Access 的逆向代理

您可以将 Apache HTTP Server 配置为 Rational DOORS Web Access 的逆向代理。逆向代理服务器提供额外一层安全性,保护网络中的 HTTP Server,并提高安全套接 字层 (SSL) 请求的性能。使用逆向代理时,可在稍后根据需要更改部署拓扑。

开始之前

  1. 安装 Rational DOORS Web Access,但不启动 Rational DOORS Web Access 组件或服务器。
  2. 安装 Apache HTTP Server。

关于此任务

逆向代理服务器是特殊的 HTTP Server,用于阻止对内容 HTTP Server 进行直接访问。对内容的所有请求都将经过公开可视的逆向代理服务器 URI,然后重定向至专用 Rational DOORS Web Access 服务器 URI。
使用逆向代理服务器具有以下几个优点:
  • 未来的部署拓扑可更改:当您在部署中使用逆向代理时,可在公共 URL 中提供一个主机名(不管在多少机器和端口号上部署了应用程序)。因此,可在稍后更改部署拓扑。
  • 安全性:逆向代理服务器提供额外一层安全性,并可保护通信网络中的其他 HTTP Server。如果在逆向代理服务器和内容 HTTP Server 之间使用防火墙,那么可将防火墙配置为仅允许来自逆向代理服务器的 HTTP 请求。
  • 性能:可以为逆向代理服务器配备可提高 SSL 请求性能的 SSL 加速硬件。
在该过程中,执行以下步骤:
  1. 准备 SSL 密钥库。
  2. 修改 httpd.confhttpd-ssl.conf 文件。
  3. 启动 Apache HTTP Server。
  4. 启动 Rational DOORS Web Access 组件。
  5. 启动 Rational DOORS Web Access 服务器。

过程

  1. 准备 SSL 密钥库:
    1. 在提供的 IBM Key Management Utility (IKeyMan) SSL 工具中创建或打开 SSL 密钥库。
    2. 保存密钥库时,选择用于将密码保存到存储文件的选项。
    3. 记录以下信息:
      • 缺省 SSL 证书标签
      • 密钥库文件的路径
      • 存储文件的路径
  2. 通过编辑 httpd.conf 文件(位于 Apache 安装版中的 conf 目录内)将 Apache HTTP Server 配置为处理 SSL 请求。
    1. 对以下模块进行取消注释:
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
      • LoadModule ssl_module modules/mod_ssl.so
    2. 转至 SSL 配置部分,该部分以 #Secure (SSL/TLS) connections 开头。
    3. 在该部分中,添加以下条目:
      #
      # 逆向代理
      #
      SSLProxyEngine On
      ProxyPreserveHost On
    4. 添加用于标识主机域的条目:
      ProxyPass / https://host_domain:DWA_Tomcat_port/
      ProxyPassReverse / https://host_domain:DWA_Tomcat_port/
      例如:
      ProxyPass / https://private_host.com:7443/
      ProxyPassReverse / https://private_host.com:7443/
      注: 在该示例中,对最终用户可视的代理端口设置为 8443,而代理请求将重定向至 private_host 服务器上的端口 7443。根据您的环境,代理服务器和 Apache Tomcat 所配置为使用的端口可设置为其他值以避免端口冲突。
    5. 对以下行进行取消注释:
      Include conf/extra/httpd-ssl.conf
      有关如何配置逆向代理的更多信息,请参阅 Apache Software Foundation 文档中的 Apache Module mod_proxy
  3. 编辑 httpd-ssl.conf 文件(位于 Apache 安装版中的 /conf/extra 目录内)。
    1. 对配置 SSL 的主机名和端口进行更新。
    2. 根据需要更新设置,包括以下设置:
      • SSLCertificateFile
      • SSLCertificateKeyFile
      注: 如果 SSLCertificateKeyFile 密钥文件受密码保护,那么每次服务器启动时都必须输入此密码。您可以移除此密码,但请在进行移除之前,考虑此操作对环境安全性的影响。
      有关如何编辑 HHTP SSL 文件的更多信息, 请参阅 Apache Software Foundation 文档中的 Apache Core FeaturesApache Module mod_ssl
  4. 启动 Apache HTTP Server。任何错误都将写入到 error.log 文件(位于 Apache 安装版中的 /logs 文件夹内)。
  5. 启动 Rational DOORS Web Access 组件。
  6. 启动 Rational DOORS Web Access 服务器。
  7. 通过输入以下 dbadmin 命令将 Rational DOORS Web Access 公共 URL 和端口设置为逆向代理服务器:
    dbadmin -dwaHost reverse_proxy_url -dwaPort reverse_proxy_portnumber
    有关 dbadmin 命令的更多信息,请参阅配置 Rational DOORS 数据库服务器

反馈