Gebruikershulpmiddelen
installatie_handleidingen:reverse_proxy
Verschillen
Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.
| Beide kanten vorige revisie Vorige revisie Volgende revisie | Vorige revisie | ||
|
installatie_handleidingen:reverse_proxy [2015/09/27 20:33] abel |
installatie_handleidingen:reverse_proxy [2017/02/14 23:40] (huidige) abel |
||
|---|---|---|---|
| Regel 4: | Regel 4: | ||
| Het is belangrijk dat de interne servernamen aan de interne ip adressen gekoppeld zijn of door opname in de hosts file op de proxy server of op de interne DNS. | Het is belangrijk dat de interne servernamen aan de interne ip adressen gekoppeld zijn of door opname in de hosts file op de proxy server of op de interne DNS. | ||
| - | vervolgens moet in de firewall de poorten waarvoor ge-proxied wordt een NAT regel worden doorgezet naar de proxyserver in de DMZ en die poortem | + | vervolgens moet in de firewall de poorten waarvoor ge-proxied wordt een NAT regel worden doorgezet naar de proxyserver in de DMZ en die poorten |
| - | + | ||
| Begin met een [[werkinstructies: | Begin met een [[werkinstructies: | ||
| - | installeer vervolgens apache en SSL: | ||
| - | '' | + | ===== SSL Certificaten ===== |
| - | yum install openssl mod_ssl'' | + | |
| - | zet de modules aan in apache: | + | Installeer eerst de software:\\ |
| + | '' | ||
| - | '' | + | Om het dataverkeer te beveiligen met SSL moeten we een certificaat en een key plaatsen. breng de keys en certificaten van de te proxyen webservers over naar de directory |
| - | a2enmod rewrite'' | + | |
| - | Om het dataverkeer te beveiligen met SSL moeten we een certificaat en een key aanmaken. We maken een “self-signed-certificate” omdat een geverifieerd certificaat te duur is voor nu. | + | Let op dat de SELinux context goed staat, fix dit eventueel door: |
| - | Maak de directory aan waar het certificaat wordt opgeslagen: | + | '' |
| + | restorecon -R -v / | ||
| - | '' | ||
| - | |||
| - | en maak het certificaat en de key aan: | ||
| - | '' | ||
| - | Het programma vraagt je om enkele gegevens, waarvan de belangrijste de '' | ||
| - | < | + | ===== Apache ===== |
| - | Generating a 2048 bit RSA private key | + | |
| - | .......................................................+++ | + | installeer apache en de ssl module voor apache:\\ |
| - | ......+++ | + | ''yum install httpd\\ |
| - | writing new private key to '/ | + | yum install mod_ssl'' |
| - | ----- | + | |
| - | You are about to be asked to enter information that will be incorporated | + | |
| - | into your certificate request. | + | |
| - | What you are about to enter is what is called a Distinguished Name or a DN. | + | |
| - | There are quite a few fields but you can leave some blank | + | |
| - | For some fields there will be a default value, | + | |
| - | If you enter '.', the field will be left blank. | + | |
| - | ----- | + | |
| - | Country Name (2 letter code) [AU]:NL | + | |
| - | State or Province Name (full name) [Some-State]: | + | |
| - | Locality Name (eg, city) []:Den Haag | + | |
| - | Organization Name (eg, company) [Internet Widgits Pty Ltd]: | + | |
| - | Organizational Unit Name (eg, section) []:IT Dept. | + | |
| - | Common Name (e.g. server FQDN or YOUR name) []: | + | |
| - | Email Address []: | + | |
| - | </ | + | |
| Vervolgens maken we virtual host files aan: | Vervolgens maken we virtual host files aan: | ||
| Regel 59: | Regel 35: | ||
| < | < | ||
| - | |||
| Listen 80 | Listen 80 | ||
| + | NameVirtualHost 192.168.X.X: | ||
| - | < | + | < |
| - | ServerName server-naam.auriel.nl | + | ServerName server-naam.domain.nl |
| ProxyRequests off | ProxyRequests off | ||
| - | |||
| <Proxy *> | <Proxy *> | ||
| Order deny,allow | Order deny,allow | ||
| Allow from all | Allow from all | ||
| </ | </ | ||
| - | | + | ProxyPass / http:// |
| - | | + | ProxyPassReverse / http:// |
| - | ProxyPassReverse / http:// | + | </ |
| + | |||
| + | < | ||
| + | # dit is een redirect naar de SSL versie van de website | ||
| + | ServerAdmin webmaster@domain.nl | ||
| + | ServerName otherserver.domain.nl | ||
| + | Redirect / https:// | ||
| </ | </ | ||
| </ | </ | ||
| - | en één voor het SSL verkeer, bijvoorbeeld voor de calendar server | + | en één voor het SSL verkeer '' |
| < | < | ||
| - | |||
| Listen 443 | Listen 443 | ||
| + | #Listen 8443 | ||
| + | NameVirtualHost 192.168.X.X: | ||
| - | < | + | < |
| - | + | ||
| - | ServerName calendar.auriel.nl | + | |
| - | | + | |
| SSLEngine On | SSLEngine On | ||
| SSLProxyEngine On | SSLProxyEngine On | ||
| - | SSLCertificateFile / | ||
| - | SSLCertificateKeyFile / | ||
| + | ServerName otherserver.domain.nl | ||
| + | SSLCertificateFile / | ||
| + | SSLCertificateKeyFile / | ||
| + | SSLProtocol All -SSLv2 -SSLv3 | ||
| + | BrowserMatch "MSIE [2-5]" \ | ||
| + | | ||
| + | | ||
| ProxyRequests off | ProxyRequests off | ||
| Regel 97: | Regel 81: | ||
| Allow from all | Allow from all | ||
| </ | </ | ||
| - | | ||
| - | ProxyPass / https:// | ||
| - | ProxyPassReverse / http:// | ||
| + | ProxyPass / https:// | ||
| + | ProxyPassReverse / https:// | ||
| </ | </ | ||
| - | </ | ||
| - | Zet de nodige poorten in de firewall van de proxyserver zelf open zodat er van buitenaf verbinding kan worden gemaakt: | ||
| - | '' | + | < |
| - | '' | + | SSLEngine on |
| - | '' | + | SSLProxyEngine On |
| + | |||
| + | ServerName sslserver-two.domain.nl | ||
| + | SSLCertificateFile / | ||
| + | SSLCertificateKeyFile / | ||
| + | SSLProtocol All -SSLv2 -SSLv3 | ||
| + | BrowserMatch "MSIE [2-5]" | ||
| + | | ||
| + | downgrade-1.0 force-response-1.0 | ||
| + | |||
| + | ProxyRequests off | ||
| + | |||
| + | <Proxy *> | ||
| + | Order deny, | ||
| + | Allow from all | ||
| + | </ | ||
| + | ProxyPass / https:// | ||
| + | | ||
| + | </ | ||
| + | </ | ||
| harden de httpd install door de volgende entries toe te voegen aan: '' | harden de httpd install door de volgende entries toe te voegen aan: '' | ||
| Regel 121: | Regel 121: | ||
| ServerTokens Prod | ServerTokens Prod | ||
| </ | </ | ||
| - | |||
| en zorg dat de server start: | en zorg dat de server start: | ||
| Regel 129: | Regel 128: | ||
| + | ===== Firewall ===== | ||
| + | Zet de nodige poorten in de firewall van de proxyserver zelf open zodat er van buitenaf verbinding kan worden gemaakt: | ||
| + | |||
| + | '' | ||
| + | '' | ||
| + | '' | ||
| + | ===== Bronnen ===== | ||
| + | [[http:// | ||
installatie_handleidingen/reverse_proxy.1443378822.txt.gz · Laatst gewijzigd: 2015/09/27 20:33 door abel
Paginahulpmiddelen
Tenzij anders vermeld valt de inhoud van deze wiki onder de volgende licentie: CC Attribution-Share Alike 4.0 International
