Gebruikershulpmiddelen

Site-hulpmiddelen

Spoor:
installatie_handleidingen:reverse_proxy

Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

Link naar deze vergelijking

Beide kanten vorige revisie Vorige revisie
Volgende revisie 		Vorige revisie
installatie_handleidingen:reverse_proxy [2015/09/21 10:23]
abel 		installatie_handleidingen:reverse_proxy [2017/02/14 23:40] (huidige)
abel
Regel 4: Regel 4:
 Het is belangrijk dat de interne servernamen aan de interne ip adressen gekoppeld zijn of door opname in de hosts file op de proxy server of op de interne DNS. Het is belangrijk dat de interne servernamen aan de interne ip adressen gekoppeld zijn of door opname in de hosts file op de proxy server of op de interne DNS.
  
-vervolgens moet in de firewall de poorten waarvoor ge-proxied wordt een NAT regel worden doorgezet naar de proxyserver in de DMZ en die poortem opengezet van de proxy in de DMZ naar de webserver in de veilige zone.+vervolgens moet in de firewall de poorten waarvoor ge-proxied wordt een NAT regel worden doorgezet naar de proxyserver in de DMZ en die poorten opengezet van de proxy in de DMZ naar de webserver in de veilige zone.
  
 +Begin met een [[werkinstructies:clone_de_minimale_centos7_template|Clone van de CentOS7 minimal]]
  
  
-Begin met een [[werkinstructies:clone_de_minimale_centos7_template|Clone van de CentOS7 minimal]]+===== SSL Certificaten =====
  
-installeer vervolgens apache en SSL+Installeer eerst de software:\\ 
 +''yum install openssl''
  
-''yum install httpd\\ +Om het dataverkeer te beveiligen met SSL moeten we een certificaat en een key plaatsen. breng de keys en certificaten van de te proxyen webservers over naar de directory ''/etc/ssl/cert''
-yum install openssl mod_ssl''+
  
-zet de modules aan in apache:+Let op dat de SELinux context goed staat, fix dit eventueel door:
  
-''sudo a2enmod ssl\\ +''restorecon -R -v /etc/ssl/certs/sslservernaam.domain.nl.key\\ 
-sudo a2enmod rewrite\\''+restorecon -R -v /etc/ssl/certs/sslservernaam.domain.nl.crt''
  
-Om het dataverkeer te beveiligen met SSL moeten we een certificaat en een key aanmaken. We maken een “self-signed-certificate” omdat een geverifieerd certificaat te duur is voor nu. 
  
-Maak de directory aan waar het certificaat wordt opgeslagen: 
  
-''mkdir /etc/httpd/ssl'' 
-  
-en maak het certificaat en de key aan: 
  
-''openssl req -x509 -nodes -days 1000 -newkey rsa:2048 -keyout /etc/httpd/ssl/apache.key -out /etc/httpd/ssl/apache.crt''+===== Apache =====
  
-Het programma vraagt je om enkele gegevens, waarvan de belangrijste de  ''“Common Name”'' is. Vul hier je domeinnaam in+installeer apache en de ssl module voor apache:\\ 
- +''yum install httpd\\ 
-<code> +yum install mod_ssl''
-Generating a 2048 bit RSA private key +
-.......................................................+++ +
-......+++ +
-writing new private key to '/etc/apache2/ssl/apache.key+
------ +
-You are about to be asked to enter information that will be incorporated +
-into your certificate request. +
-What you are about to enter is what is called a Distinguished Name or a DN. +
-There are quite a few fields but you can leave some blank +
-For some fields there will be a default value, +
-If you enter '.', the field will be left blank. +
------ +
-Country Name (2 letter code) [AU]:NL +
-State or Province Name (full name) [Some-State]:Zuid Holland +
-Locality Name (eg, city) []:Den Haag +
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:Boerema CI&ND +
-Organizational Unit Name (eg, section) []:IT Dept. +
-Common Name (e.g. server FQDN or YOUR name) []:calendar.auriel.nl +
-Email Address []:support@auriel.nl +
-</code>+
  
 Vervolgens maken we virtual host files aan: Vervolgens maken we virtual host files aan:
  
-één voor gewoon web verkeer over poort 80+één voor gewoon web verkeer over poort 80 ''/etc/httpd/conf.d/default.conf'' zet hierin:
- +
-''vi /etc/httpd/conf.d/default.conf'' +
- +
-en zet hierin:+
  
 <code> <code>
- 
 Listen 80 Listen 80
 +NameVirtualHost 192.168.X.X:80
  
-<VirtualHost *:80> +<VirtualHost 192.168.X.X:80> 
-    ServerName server-naam.auriel.nl+    ServerName server-naam.domain.nl
     ProxyRequests off     ProxyRequests off
- 
     <Proxy *>     <Proxy *>
         Order deny,allow         Order deny,allow
         Allow from all         Allow from all
     </Proxy>     </Proxy>
-     +    ProxyPass / http://server-naam.domain.nl/ 
-    ProxyPass / http://server-naam.auriel.nl/ +    ProxyPassReverse / http://server-naam.domain.nl/ 
-    ProxyPassReverse / http://server-naam.auriel.nl/+</VirtualHost> 
 + 
 +<VirtualHost 192.168.X.X:80> 
 +    # dit is een redirect naar de SSL versie van de website 
 +    ServerAdmin webmaster@domain.nl 
 +    ServerName otherserver.domain.nl 
 +    Redirect / https://otherserver.domain.nl
 </VirtualHost> </VirtualHost>
 </code> </code>
  
-en één voor het SSL verkeer, bijvoorbeeld voor de calendar server: +en één voor het SSL verkeer ''vi /etc/httpd/conf.d/ssl.conf'' zet hier in:
- +
-''vi /etc/httpd/conf.d/default.conf''+
  
 <code> <code>
- 
 Listen 443 Listen 443
 +#Listen 8443
 +NameVirtualHost 192.168.X.X:443
  
-<VirtualHost *:443> +<VirtualHost 192.168.X.X:443>
- +
-    ServerName calendar.auriel.nl +
-    +
     SSLEngine On     SSLEngine On
     SSLProxyEngine On     SSLProxyEngine On
-    SSLCertificateFile /etc/httpd/ssl/apache.crt 
-    SSLCertificateKeyFile /etc/httpd/ssl/apache.key 
  
 +    ServerName otherserver.domain.nl
 +    SSLCertificateFile /etc/ssl/certs/otherserver.domain.nl.crt
 +    SSLCertificateKeyFile /etc/ssl/certs/otherserver.domain.nl.key
 +    SSLProtocol All -SSLv2 -SSLv3
 +    BrowserMatch "MSIE [2-5]" \
 +             nokeepalive ssl-unclean-shutdown \
 +             downgrade-1.0 force-response-1.0
     ProxyRequests off     ProxyRequests off
  
Regel 103: Regel 81:
         Allow from all         Allow from all
     </Proxy>     </Proxy>
 +
 +    ProxyPass / https://otherserver.domain.nl/
 +    ProxyPassReverse / https://otherserver.domain.nl/
 +</VirtualHost>
 +
 +
 +<VirtualHost 192.168.X.X:443>
 +    SSLEngine on
 +    SSLProxyEngine On
          
-    ProxyPass https://calendar.auriel.nl/ +    ServerName sslserver-two.domain.nl 
-    ProxyPassReverse http://calendar.auriel.nl/+    SSLCertificateFile /etc/ssl/certs/sslserver-two.domain.nl.crt 
 +    SSLCertificateKeyFile /etc/ssl/certs/sslserver-two.domain.nl.key 
 +    SSLProtocol All -SSLv2 -SSLv3 
 +    BrowserMatch "MSIE [2-5]" \ 
 +        nokeepalive ssl-unclean-shutdown \ 
 +        downgrade-1.0 force-response-1.0
  
 +    ProxyRequests off
 +
 +    <Proxy *>
 +        Order deny,allow
 +        Allow from all
 +    </Proxy>
 +    ProxyPass / https://sslserver-two.domain.nl/
 +    ProxyPassReverse / https://sslserver-two.domain.nl/
 </VirtualHost> </VirtualHost>
 </code> </code>
- 
-Zet de nodige poorten in de firewall open zodat er van buitenaf verbinding kan worden gemaakt: 
- 
-''firewall-cmd %%--permanent --%%add-port=80/tcp''\\ 
-''firewall-cmd %%--permanent --%%add-port=443/tcp''\\ 
-''firewall-cmd %%--%%reload'' 
  
 harden de httpd  install door de volgende entries toe te voegen aan: ''vi /etc/httpd/conf.d/options.conf'' harden de httpd  install door de volgende entries toe te voegen aan: ''vi /etc/httpd/conf.d/options.conf''
Regel 127: Regel 121:
 ServerTokens Prod ServerTokens Prod
 </code> </code>
- 
  
 en zorg dat de server start: en zorg dat de server start:
Regel 135: Regel 128:
  
  
 +===== Firewall =====
 +Zet de nodige poorten in de firewall van de proxyserver zelf open zodat er van buitenaf verbinding kan worden gemaakt:
 +
 +''firewall-cmd %%--permanent --%%add-port=80/tcp''\\
 +''firewall-cmd %%--permanent --%%add-port=443/tcp''\\
 +''firewall-cmd %%--%%reload''
  
  
  
 +===== Bronnen =====
  
 +[[http://stackoverflow.com/questions/18872482/error-during-ssl-handshake-with-remote-server]]
  
  
installatie_handleidingen/reverse_proxy.1442823796.txt.gz · Laatst gewijzigd: 2015/09/21 10:23 (Externe bewerking)

Paginahulpmiddelen

Tenzij anders vermeld valt de inhoud van deze wiki onder de volgende licentie: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki