Integration des IES in den Apache

Aus SiteparkWiki
Zur Navigation springen Zur Suche springen

Allgemeines

Der IES ist i.d.R. für sämtliche Dateien im DocumentRoot eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe ies aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

Konfiguration des DocumentRoot

Im DocumentRoot eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä. Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende .htaccess-Dateien durch die Module generiert. Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung Helicon Ape) die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis /WEB-IES/ speichert ist die Konfiguration wie folgt möglich:

<VirtualHost *:80>
	<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
		Options -Indexes
		AllowOverride LIMIT
	</Directory>
</VirtualHost>

Allgemeine Hinweise zur Integration

Die Integration des IES in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet

Für die optionale Integration des IES in den Apache Webserver empfehlen wird das Apache-Modul proxy_http. Folgende Konfiguration kann als Vorlage dienen. Die ProxyPassMatch Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:

   mod_proxy
   mod_proxy_balancer
   mod_proxy_http
   mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
   mod_rewrite
   mod_ssl
   mod_headers 


Da Passwörter und andere vertrauliche Daten mit dem IES ausgetauscht werden, muss immer HTTPS für den Apache eingerichtet werden.

Die Setzung ProxyPreserveHost legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (Publikationsbereich als Modul verwenden - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.

Hinweise zur Integration des IES in den Apache

Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist kein DocumentRoot notwendig!

Aufruf des IES Über den Apache

<VirtualHost *:80>

    ServerName <<cms-host>>

    # Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
    # Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
    # da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
    RedirectMatch  ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:80>
    # Redirects
    ServerName infosite.<<cms-domain>>
    ServerAlias citygov.<<cms-domain>>
    ServerAlias newsdesk.<<cms-domain>>
    ServerAlias infosite5.<<cms-domain>>
    ServerAlias infosite6.<<cms-domain>>

    <IfModule mod_rewrite.c>
    RewriteEngine on

    RewriteCond %{HTTP_HOST}    infosite6.<<cms-domain>> [OR]
    RewriteCond %{HTTP_HOST}    infosite.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301]

    RewriteCond %{HTTP_HOST}    infosite5.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301]

    RewriteCond %{HTTP_HOST}    newsdesk.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301]

    RewriteCond %{HTTP_HOST}    citygov.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301]
    </IfModule>
</VirtualHost>
<VirtualHost *:443>

    ServerName <<cms-host>>

    ErrorLog        /var/log/apache2/<<cms-host>>.err
    CustomLog       /var/log/apache2/<<cms-host>>.log combined

    RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
    RewriteRule .* - [R=405,L]

    # Infosite redirect
    RewriteEngine On
    RewriteRule ^/$ /ies/admin/ [R,L]


    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # timeout
    ProxyTimeout 3600

    # always keep the host header
    ProxyPreserveHost On
    #X-Forwarded-Proto
    #X-Forwarded-Port
    #X-Forwarded-Host

    # load balancer
    <Proxy balancer://ies-balancer>
        Require all granted

        #AuthType Basic
        #AuthName "IES Server"
        #AuthUserFile "/etc/.htpasswd"
        #Require valid-user
        #Require ip 192.168.1

        BalancerMember http://localhost:8080 timeout=3600 retry=0
    </Proxy>
    # Weiterleitung aller IES-Modul Anfragen an den IES
    ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # Sollte es Pulikationsbereiche mit Live spml Seiten geben, muss dieser Match ergänzt werden!!!
    #ProxyPassMatch ^(.*\.spml(;jsessionid=\w+)?(\?.*)?)$     balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

    # Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
    # innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
    #RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
    #RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
    RequestHeader set X-IES-SCHEME "https"

    Header set X-Frame-Options SAMEORIGIN

    <LocationMatch "/ies/.*/rpc">
      Header Set Cache-Control "max-age=0, no-store, no-cache, must-revalidate"
      Header Unset ETag
      FileETag None
    </LocationMatch>

</VirtualHost>

Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers

Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode

Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<VirtualHost *:80>
...
   ProxyTimeout 3600
   <Proxy balancer://ies-webnode-balancer>
      # Apache >= 2.4
      #Require all denied
      #Require host localhost
      #Require ip 82.140.11.34 127.0.0.1

      # Apache 2.2
      Order Deny,Allow
      Deny from all
      Allow from 82.140.11.34 127.0.0.1 localhost

      BalancerMember http://localhost:8381
   </Proxy>
   ProxyPassMatch ^(/ies-webnode/.*)$      balancer://ies-webnode-balancer$1
...
</VirtualHost>

Webseiten-Apache-Konfiguration mit IES-API Zugriff

Dies Konfiguration ist notwendig für:

  • den I-Link im SRPC-Modus in InfoSite6
  • Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
  • CityCall mit Anbindung an das Ticketsystem
<VirtualHost *:80>

    ServerName <<hostname>>
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...
    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ProxyPreserveHost Off

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off
    #ProxyRemote https://<<cms-host>> http://proxy.xxx.de:8080

    # timeout
    ProxyTimeout 3600

    # load balancer IES-API
    <Proxy balancer://ies-api-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>

    ProxyPassMatch ^(/ies/api/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    ####### oder auf bestimmte Module begrenzt: ######
    # ProxyPassMatch ^(/ies/MODUL/.*)$                       balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # Beispiele: 
    # ProxyPassMatch ^(/ies/formservice/.*)$                 balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/infoticket/.*)$                  balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/jslibs/.*)$                      balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>

Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<VirtualHost *:80>

    ServerName ...
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...

    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ProxyPreserveHost On

    # timeout
    ProxyTimeout 3600

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off


    # load balancer
    <Proxy balancer://ies-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
        # auf den Webserver selbst beschränkt werden
        # Apache >= 2.4
        #Require all granted
        #Require host localhost [Hostname des Webservers]
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
        # Apache 2.2
        #Deny from all
        #Allow from localhost [IP-Adresse des Webservers]

        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

        # Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
        # da dieser Anfragen automatisch intern an den IES weiterleitet.
        #BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

        # Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
        # Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
        # Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
        #BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>

    # Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
    ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$  balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$                      balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
    <Directory <<DocumentRoot>>/WEB-INF>
        # Apache >= 2.4
        #Require all denied

        # Apache 2.2
        Order deny,allow
        Deny from all
    </Directory>


    # COUNTER 
    # Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
    #RedirectMatch  ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

    # Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
    # Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
    RewriteEngine on

    # Zugriff auf das CMS nur über den Webserver (als Proxy)
    RewriteRule ^/ies/counter(.*)           https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/infosite/counter(.*)      https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/ies/infosite/counter(.*)  https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>

Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen

Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:

www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live
<VirtualHost *:80>

    ServerName ...
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...

    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
    ProxyPreserveHost Off

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off

    # timeout
    ProxyTimeout 3600

    # load balancer IES
    <Proxy balancer://ies-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
        # auf den Webserver selbst beschränkt werden
        # Apache >= 2.4
        #Require all granted
        #Require host localhost [Hostname des Webservers]
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
        # Apache 2.2
        #Deny from all
        #Allow from localhost [IP-Adresse des Webservers]

        ############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
        BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
    </Proxy>

    # Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
    ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$  balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$                      balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
    <Directory <<DocumentRoot>>/WEB-INF>
      # Apache >= 2.4
      #Require all denied
 
      # Apache 2.2
      Order deny,allow
      Deny from all
    </Directory>

    # load balancer IES-API
    <Proxy balancer://ies-api-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>
    ProxyPassMatch ^(/ies/api/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    ####### weitere Module ######
    # ProxyPassMatch ^(/ies/MODUL/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # Beispiele: 
    # ProxyPassMatch ^(/ies/formservice/.*)$                balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/infoticket/.*)$                  balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/jslibs/.*)$                      balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

    # COUNTER 
    # Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
    #RedirectMatch  ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

    # Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
    # Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
    RewriteEngine on

    # Zugriff auf das CMS nur über den Webserver (als Proxy)
    RewriteRule ^/ies/counter(.*)           http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/infosite/counter(.*)      http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/ies/infosite/counter(.*)  http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>

Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115).

In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:

...
 # Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
 RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg

<?php
  if (!empty($_GET)) {
    $client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
    $prefix = "";

    // Für den Fall, dass es auch auf Testservern eingesetzt wird
    if (strrpos($_SERVER['SERVER_NAME'],"test")) {
      $prefix = ".test";
    }

    $url = null;

    //
    // Unterscheide anhand der Server- und ClientId des übergebenen 
    // Counter-Artikels die Server für die Weiterleitung

    // Stadt Goldenberg
    if ($client === "10123") {
      $url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter";

    // Kreis Goldenberg
    } else if  ($client === "10456") {
      $url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter";

    }

    // Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen. 
    if ($url !== null) {
      $url .= "?".$_SERVER['QUERY_STRING'];

      $context  = stream_context_create(array("http" => array("timeout" => 3)));
      return file_get_contents($url, NULL, $context);
    }
}
?>

Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration)

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Folgendes Szenario wird hier exemplarisch vorgestellt:
    Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

Konfiguration auf dem öffentlichen Webserver / Proxy

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
 cat client.pem client.key > both.pem 
Diese Datei wird als Client-Zertifikat eingebunden, z.B.:
    SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem

Konfiguration auf dem CMS-System

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:
    SSLEngine on
    SSLProxyEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
    SSLProtocol All -SSLv2 -SSLv3
    SSLCertificateFile    /etc/httpd/ssl/server.cert
    SSLCertificateKeyFile /etc/httpd/ssl/server.key
    SSLCACertificateFile  /etc/httpd/ssl/CA/CA.pem
In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:
    <Directory /webserver-path>
       SSLVerifyClient      require
       SSLVerifyDepth       5
       SSLOptions           +FakeBasicAuth
       SSLRequireSSL
       AuthName "Secure Area"
       AuthType basic
       AuthBasicProvider file
       AuthUserFile      .htpasswd
       Require valid-user
       ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

       # Optionale Freigabe Für Let's Encrypt
       #Require expr %{REQUEST_URI} =~ m#^/.well-known/acme-challenge/#
    </Directory>
Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

.htpasswd-Beispiel für die Client-Authentifizierung

Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
so lautet der Inhalt der .htpasswd :
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.