Integration des IES in den Apache: Unterschied zwischen den Versionen

Aus SiteparkWiki
Zur Navigation springen Zur Suche springen
 
(47 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 20: Zeile 20:
 
==Allgemeine Hinweise zur Integration==
 
==Allgemeine Hinweise zur Integration==
 
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''
 
''Die Integration des [[IES]] in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet''
 
Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.
 
  
 
Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.
 
Für die optionale Integration des [[IES]] in den Apache Webserver empfehlen wird das Apache-Modul <code>proxy_http</code>. Folgende Konfiguration kann als Vorlage dienen. Die <code>ProxyPassMatch</code> Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.
Zeile 36: Zeile 34:
  
 
Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.
 
Da Passwörter und andere vertrauliche Daten mit dem [[IES]] ausgetauscht werden, muss immer '''HTTPS''' für den Apache eingerichtet werden.
 +
 +
<div class="note">
 +
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.
 +
 +
Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.
 +
 +
Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
 +
</div>
  
 
==Hinweise zur Integration des IES in den Apache==
 
==Hinweise zur Integration des IES in den Apache==
 
 
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!
 
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist '''kein''' DocumentRoot notwendig!
  
=== IES Apache-Konfiguration ===
+
===Aufruf des IES Über den Apache===
  
 
<source lang="apache">
 
<source lang="apache">
Zeile 53: Zeile 58:
 
     RedirectMatch  ^(.*)$ https://<<cms-host>>$1
 
     RedirectMatch  ^(.*)$ https://<<cms-host>>$1
  
 +
</VirtualHost>
 +
<VirtualHost *:80>
 +
    # Redirects
 +
    ServerName infosite.<<cms-domain>>
 +
    ServerAlias citygov.<<cms-domain>>
 +
    ServerAlias newsdesk.<<cms-domain>>
 +
    ServerAlias infosite5.<<cms-domain>>
 +
    ServerAlias infosite6.<<cms-domain>>
 +
 +
    <IfModule mod_rewrite.c>
 +
    RewriteEngine on
 +
 +
    RewriteCond %{HTTP_HOST}    infosite6.<<cms-domain>> [OR]
 +
    RewriteCond %{HTTP_HOST}    infosite.<<cms-domain>>
 +
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301]
 +
 +
    RewriteCond %{HTTP_HOST}    infosite5.<<cms-domain>>
 +
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301]
 +
 +
    RewriteCond %{HTTP_HOST}    newsdesk.<<cms-domain>>
 +
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301]
 +
 +
    RewriteCond %{HTTP_HOST}    citygov.<<cms-domain>>
 +
    RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301]
 +
    </IfModule>
 
</VirtualHost>
 
</VirtualHost>
 
<VirtualHost *:443>
 
<VirtualHost *:443>
Zeile 60: Zeile 90:
 
     ErrorLog        /var/log/apache2/<<cms-host>>.err
 
     ErrorLog        /var/log/apache2/<<cms-host>>.err
 
     CustomLog      /var/log/apache2/<<cms-host>>.log combined
 
     CustomLog      /var/log/apache2/<<cms-host>>.log combined
 +
 +
    RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
 +
    RewriteRule .* - [R=405,L]
  
 
     # Infosite redirect
 
     # Infosite redirect
 
     RewriteEngine On
 
     RewriteEngine On
     RewriteRule ^/$ /ies/infosite/ [R,L]
+
     RewriteRule ^/$ /ies/admin/ [R,L]
  
  
Zeile 78: Zeile 111:
 
     # always keep the host header
 
     # always keep the host header
 
     ProxyPreserveHost On
 
     ProxyPreserveHost On
 +
    #X-Forwarded-Proto
 +
    #X-Forwarded-Port
 +
    #X-Forwarded-Host
  
 
     # load balancer
 
     # load balancer
 
     <Proxy balancer://ies-balancer>
 
     <Proxy balancer://ies-balancer>
         Order Deny,Allow
+
         Require all granted
         Allow from All
+
 
 +
        #AuthType Basic
 +
        #AuthName "IES Server"
 +
        #AuthUserFile "/etc/.htpasswd"
 +
         #Require valid-user
 +
        #Require ip 192.168.1
 +
 
 
         BalancerMember http://localhost:8080 timeout=3600 retry=0
 
         BalancerMember http://localhost:8080 timeout=3600 retry=0
 
     </Proxy>
 
     </Proxy>
 
+
    # Weiterleitung aller IES-Modul Anfragen an den IES
     ProxyPassMatch ^(/ies/.*)$                               balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
+
     ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
     ProxyPassMatch ^(/infosite-webdav/.*)$                  balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
+
     # Sollte es Pulikationsbereiche mit Live spml Seiten geben, muss dieser Match ergänzt werden!!!
     ProxyPassMatch ^(/xip/.*)$                              balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
+
     #ProxyPassMatch ^(.*\.spml(;jsessionid=\w+)?(\?.*)?)$     balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    ProxyPassMatch ^(/infosite/.*)$                         balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
 
  
 
     # Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
 
     # Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
Zeile 96: Zeile 137:
 
     #RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
 
     #RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
 
     RequestHeader set X-IES-SCHEME "https"
 
     RequestHeader set X-IES-SCHEME "https"
 +
 +
    Header set X-Frame-Options SAMEORIGIN
 +
 +
    <LocationMatch "/ies/.*/rpc">
 +
      Header Set Cache-Control "max-age=0, no-store, no-cache, must-revalidate"
 +
      Header Unset ETag
 +
      FileETag None
 +
    </LocationMatch>
  
 
</VirtualHost>
 
</VirtualHost>
 
</source>
 
</source>
 
  
 
==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==
 
==Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers==
Zeile 111: Zeile 159:
 
   ProxyTimeout 3600
 
   ProxyTimeout 3600
 
   <Proxy balancer://ies-webnode-balancer>
 
   <Proxy balancer://ies-webnode-balancer>
 +
      # Apache >= 2.4
 +
      #Require all denied
 +
      #Require host localhost
 +
      #Require ip 82.140.11.34 127.0.0.1
 +
 +
      # Apache 2.2
 
       Order Deny,Allow
 
       Order Deny,Allow
       Allow from All
+
      Deny from all
 +
       Allow from 82.140.11.34 127.0.0.1 localhost
 +
 
 
       BalancerMember http://localhost:8381
 
       BalancerMember http://localhost:8381
 
   </Proxy>
 
   </Proxy>
Zeile 121: Zeile 177:
  
 
===Webseiten-Apache-Konfiguration mit IES-API Zugriff===
 
===Webseiten-Apache-Konfiguration mit IES-API Zugriff===
<div class="note">
+
 
 
Dies Konfiguration ist notwendig für:  
 
Dies Konfiguration ist notwendig für:  
 
*den I-Link im SRPC-Modus in InfoSite6  
 
*den I-Link im SRPC-Modus in InfoSite6  
 
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
 
*Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
 
*CityCall mit Anbindung an das Ticketsystem
 
*CityCall mit Anbindung an das Ticketsystem
</div>
 
  
 
<source lang="apache">
 
<source lang="apache">
Zeile 147: Zeile 202:
 
     # always keep the host header
 
     # always keep the host header
 
     ProxyPreserveHost Off
 
     ProxyPreserveHost Off
 +
 +
    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
 +
    SSLProxyEngine On
 +
    SSLProxyVerify none
 +
    SSLProxyCheckPeerCN Off
 +
    SSLProxyCheckPeerName Off
 +
    SSLProxyCheckPeerExpire Off
 +
    #ProxyRemote https://<<cms-host>> http://proxy.xxx.de:8080
  
 
     # timeout
 
     # timeout
Zeile 153: Zeile 216:
 
     # load balancer IES-API
 
     # load balancer IES-API
 
     <Proxy balancer://ies-api-balancer>
 
     <Proxy balancer://ies-api-balancer>
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
 +
        # Apache 2.2
 
         Order Deny,Allow
 
         Order Deny,Allow
 
         Allow from All
 
         Allow from All
 +
 
         # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
 
         # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
 
         BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
 
         BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
Zeile 171: Zeile 239:
  
 
===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===
 
===Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten===
 +
 
Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
 
Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert.
 +
Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.
  
 
<source lang="apache">
 
<source lang="apache">
Zeile 198: Zeile 268:
  
 
     # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
 
     # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
     #SSLProxyEngine On
+
     SSLProxyEngine On
     #SSLProxyVerify none
+
     SSLProxyVerify none
     #SSLProxyCheckPeerCN Off
+
     SSLProxyCheckPeerCN Off
     #SSLProxyCheckPeerName Off
+
     SSLProxyCheckPeerName Off
     #SSLProxyCheckPeerExpire Off
+
     SSLProxyCheckPeerExpire Off
  
  
 
     # load balancer
 
     # load balancer
 
     <Proxy balancer://ies-balancer>
 
     <Proxy balancer://ies-balancer>
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
 +
        # Apache 2.2
 
         Order Deny,Allow
 
         Order Deny,Allow
 
         Allow from All
 
         Allow from All
         BalancerMember http://<<cms-host>>:8080 timeout=3600 retry=0
+
 
 +
        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
 +
        # auf den Webserver selbst beschränkt werden
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
        #Require host localhost [Hostname des Webservers]
 +
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
 +
        # Apache 2.2
 +
        #Deny from all
 +
        #Allow from localhost [IP-Adresse des Webservers]
 +
 
 +
         BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
  
 
         # Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
 
         # Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
Zeile 226: Zeile 311:
 
     # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
 
     # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
 
     <Directory <<DocumentRoot>>/WEB-INF>
 
     <Directory <<DocumentRoot>>/WEB-INF>
      Order deny,allow
+
        # Apache >= 2.4
      Deny from all
+
        #Require all denied
 +
 
 +
        # Apache 2.2
 +
        Order deny,allow
 +
        Deny from all
 
     </Directory>
 
     </Directory>
  
Zeile 248: Zeile 337:
  
 
===Alternative Variante, wenn IES-API  UND SPML-Seite unterstützt werden müssen===
 
===Alternative Variante, wenn IES-API  UND SPML-Seite unterstützt werden müssen===
 +
 
''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''
 
''Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.''
  
<div class="note">
+
Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:
Die Setzung '''ProxyPreserveHost''' legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.
 
 
 
Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.
 
 
 
Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (''Publikationsbereich als Modul verwenden'' - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
 
 
 
Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben werden soll:
 
  
 
Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.
 
Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.
Zeile 270: Zeile 353:
 
  <<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
 
  <<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
 
  <<spml_live_folder>>: /live
 
  <<spml_live_folder>>: /live
</div>
 
  
 
<source lang="apache">
 
<source lang="apache">
 
<VirtualHost *:80>
 
<VirtualHost *:80>
  
     ServerName <<hostname>>
+
     ServerName ...
 
     DocumentRoot ...
 
     DocumentRoot ...
 
   
 
   
Zeile 306: Zeile 388:
 
     # load balancer IES
 
     # load balancer IES
 
     <Proxy balancer://ies-balancer>
 
     <Proxy balancer://ies-balancer>
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
 +
        # Apache 2.2
 
         Order Deny,Allow
 
         Order Deny,Allow
 
         Allow from All
 
         Allow from All
 +
 +
        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
 +
        # auf den Webserver selbst beschränkt werden
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
        #Require host localhost [Hostname des Webservers]
 +
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
 +
        # Apache 2.2
 +
        #Deny from all
 +
        #Allow from localhost [IP-Adresse des Webservers]
 +
 
         ############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
 
         ############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
 
         BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
 
         BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
Zeile 317: Zeile 414:
 
     # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
 
     # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
 
     <Directory <<DocumentRoot>>/WEB-INF>
 
     <Directory <<DocumentRoot>>/WEB-INF>
 +
      # Apache >= 2.4
 +
      #Require all denied
 +
 +
      # Apache 2.2
 
       Order deny,allow
 
       Order deny,allow
 
       Deny from all
 
       Deny from all
Zeile 323: Zeile 424:
 
     # load balancer IES-API
 
     # load balancer IES-API
 
     <Proxy balancer://ies-api-balancer>
 
     <Proxy balancer://ies-api-balancer>
 +
        # Apache >= 2.4
 +
        #Require all granted
 +
 +
        # Apache 2.2
 
         Order Deny,Allow
 
         Order Deny,Allow
 
         Allow from All
 
         Allow from All
 +
 
         # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
 
         # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
 
         BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
 
         BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
Zeile 350: Zeile 456:
  
 
</VirtualHost>
 
</VirtualHost>
</source>
 
 
=== Apache-Konfiguration Version < 2.2.5 ===
 
Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer <code>ProxyPassMatch</code> eine <code>RewriteRule</code> einzusetzen:
 
 
<source lang="apache">
 
###################################
 
# IES integration using mod_proxy #
 
###################################
 
 
# security
 
ProxyRequests Off
 
 
# always keep the host header
 
ProxyPreserveHost On
 
 
# timeout
 
ProxyTimeout 3600
 
 
# load balancer
 
<Proxy balancer://ies-balancer>
 
    Order Deny,Allow
 
    Allow from All
 
    BalancerMember http://localhost:8080 timeout=3600 retry=0
 
</Proxy>
 
 
RewriteEngine On
 
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
 
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
 
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
 
<Directory <<DocumentRoot>>/WEB-INF>
 
  Order deny,allow
 
  Deny from all
 
</Directory>
 
 
RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]
 
 
# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
 
# Header X-IES-SCHEME auf https gesetzt werden,
 
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
 
# richtig aufgelöst wird.
 
#RequestHeader set X-IES-SCHEME "https"
 
 
</source>
 
</source>
  
Zeile 403: Zeile 467:
 
</source>
 
</source>
  
Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Wuppertal/Remscheid/Solingen
+
Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg
 
<source lang="php">
 
<source lang="php">
 
<?php
 
<?php
Zeile 421: Zeile 485:
 
     // Counter-Artikels die Server für die Weiterleitung
 
     // Counter-Artikels die Server für die Weiterleitung
  
     // Wuppertal
+
     // Stadt Goldenberg
     if ($client === "10237") {
+
     if ($client === "10123") {
       $url = "http://cms-w".$prefix.".wuppertal.de/ies/infosite/counter";
+
       $url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter";
  
     // Remscheid
+
     // Kreis Goldenberg
     } else if  ($client === "14638") {
+
     } else if  ($client === "10456") {
       $url = "http://cms-rs".$prefix.".remscheid.de/ies/infosite/counter";
+
       $url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter";
  
    // Solingen
 
    } else if  ($client === "15601") {
 
      $url = "http://cms-sg".$prefix.".solingen.de/ies/infosite/counter";
 
 
     }
 
     }
  
Zeile 445: Zeile 506:
 
</source>
 
</source>
  
 +
== Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration) ==
 +
 +
Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
 +
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
 +
 +
Folgendes Szenario wird hier exemplarisch vorgestellt:
 +
    Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
 +
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
 +
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
 +
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.
 +
 +
=== Konfiguration auf dem öffentlichen Webserver / Proxy ===
 +
 +
Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
 +
<pre> cat client.pem client.key > both.pem </pre>
 +
 +
Diese Datei wird als Client-Zertifikat eingebunden, z.B.:
 +
 +
<source lang="apache">
 +
    SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
 +
</source>
 +
 +
=== Konfiguration auf dem CMS-System ===
 +
 +
Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
 +
bekannt gemacht werden:
 +
 +
<source lang="apache">
 +
    SSLEngine on
 +
    SSLProxyEngine on
 +
    SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
 +
    SSLProtocol All -SSLv2 -SSLv3
 +
    SSLCertificateFile    /etc/httpd/ssl/server.cert
 +
    SSLCertificateKeyFile /etc/httpd/ssl/server.key
 +
    SSLCACertificateFile  /etc/httpd/ssl/CA/CA.pem
 +
</source>
 +
 +
In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:
 +
 +
<source lang="apache">
 +
    <Directory /webserver-path>
 +
      SSLVerifyClient      require
 +
      SSLVerifyDepth      5
 +
      SSLOptions          +FakeBasicAuth
 +
      SSLRequireSSL
 +
      AuthName "Secure Area"
 +
      AuthType basic
 +
      AuthBasicProvider file
 +
      AuthUserFile      .htpasswd
 +
      Require valid-user
 +
      ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
 +
 +
      # Optionale Freigabe Für Let's Encrypt
 +
      #Require expr %{REQUEST_URI} =~ m#^/.well-known/acme-challenge/#
 +
    </Directory>
 +
</source>
 +
 +
Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.
 +
 +
=== .htpasswd-Beispiel für die Client-Authentifizierung  ===
 +
 +
Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
 +
so lautet der Inhalt der .htpasswd :
 +
 +
<source lang="text">
 +
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
 +
</source>
 +
 +
Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.
  
  

Aktuelle Version vom 9. Dezember 2022, 13:13 Uhr

Allgemeines

Der IES ist i.d.R. für sämtliche Dateien im DocumentRoot eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe ies aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.

Konfiguration des DocumentRoot

Im DocumentRoot eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä. Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende .htaccess-Dateien durch die Module generiert. Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung Helicon Ape) die Auswertung dieser Daten erlaubt werden.

Da der IES sämtliche Daten der Module in das Unterverzeichnis /WEB-IES/ speichert ist die Konfiguration wie folgt möglich:

<VirtualHost *:80>
	<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
		Options -Indexes
		AllowOverride LIMIT
	</Directory>
</VirtualHost>

Allgemeine Hinweise zur Integration

Die Integration des IES in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet

Für die optionale Integration des IES in den Apache Webserver empfehlen wird das Apache-Modul proxy_http. Folgende Konfiguration kann als Vorlage dienen. Die ProxyPassMatch Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.

Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:

   mod_proxy
   mod_proxy_balancer
   mod_proxy_http
   mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!!
   mod_rewrite
   mod_ssl
   mod_headers 


Da Passwörter und andere vertrauliche Daten mit dem IES ausgetauscht werden, muss immer HTTPS für den Apache eingerichtet werden.

Die Setzung ProxyPreserveHost legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.

Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.

Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (Publikationsbereich als Modul verwenden - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.

Hinweise zur Integration des IES in den Apache

Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist kein DocumentRoot notwendig!

Aufruf des IES Über den Apache

<VirtualHost *:80>

    ServerName <<cms-host>>

    # Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
    # Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
    # da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
    RedirectMatch  ^(.*)$ https://<<cms-host>>$1

</VirtualHost>
<VirtualHost *:80>
    # Redirects
    ServerName infosite.<<cms-domain>>
    ServerAlias citygov.<<cms-domain>>
    ServerAlias newsdesk.<<cms-domain>>
    ServerAlias infosite5.<<cms-domain>>
    ServerAlias infosite6.<<cms-domain>>

    <IfModule mod_rewrite.c>
    RewriteEngine on

    RewriteCond %{HTTP_HOST}    infosite6.<<cms-domain>> [OR]
    RewriteCond %{HTTP_HOST}    infosite.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301]

    RewriteCond %{HTTP_HOST}    infosite5.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301]

    RewriteCond %{HTTP_HOST}    newsdesk.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301]

    RewriteCond %{HTTP_HOST}    citygov.<<cms-domain>>
    RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301]
    </IfModule>
</VirtualHost>
<VirtualHost *:443>

    ServerName <<cms-host>>

    ErrorLog        /var/log/apache2/<<cms-host>>.err
    CustomLog       /var/log/apache2/<<cms-host>>.log combined

    RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
    RewriteRule .* - [R=405,L]

    # Infosite redirect
    RewriteEngine On
    RewriteRule ^/$ /ies/admin/ [R,L]


    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # timeout
    ProxyTimeout 3600

    # always keep the host header
    ProxyPreserveHost On
    #X-Forwarded-Proto
    #X-Forwarded-Port
    #X-Forwarded-Host

    # load balancer
    <Proxy balancer://ies-balancer>
        Require all granted

        #AuthType Basic
        #AuthName "IES Server"
        #AuthUserFile "/etc/.htpasswd"
        #Require valid-user
        #Require ip 192.168.1

        BalancerMember http://localhost:8080 timeout=3600 retry=0
    </Proxy>
    # Weiterleitung aller IES-Modul Anfragen an den IES
    ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # Sollte es Pulikationsbereiche mit Live spml Seiten geben, muss dieser Match ergänzt werden!!!
    #ProxyPassMatch ^(.*\.spml(;jsessionid=\w+)?(\?.*)?)$     balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On

    # Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
    # innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
    #RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
    #RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
    RequestHeader set X-IES-SCHEME "https"

    Header set X-Frame-Options SAMEORIGIN

    <LocationMatch "/ies/.*/rpc">
      Header Set Cache-Control "max-age=0, no-store, no-cache, must-revalidate"
      Header Unset ETag
      FileETag None
    </LocationMatch>

</VirtualHost>

Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers

Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode

Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:

<VirtualHost *:80>
...
   ProxyTimeout 3600
   <Proxy balancer://ies-webnode-balancer>
      # Apache >= 2.4
      #Require all denied
      #Require host localhost
      #Require ip 82.140.11.34 127.0.0.1

      # Apache 2.2
      Order Deny,Allow
      Deny from all
      Allow from 82.140.11.34 127.0.0.1 localhost

      BalancerMember http://localhost:8381
   </Proxy>
   ProxyPassMatch ^(/ies-webnode/.*)$      balancer://ies-webnode-balancer$1
...
</VirtualHost>

Webseiten-Apache-Konfiguration mit IES-API Zugriff

Dies Konfiguration ist notwendig für:

  • den I-Link im SRPC-Modus in InfoSite6
  • Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
  • CityCall mit Anbindung an das Ticketsystem
<VirtualHost *:80>

    ServerName <<hostname>>
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...
    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ProxyPreserveHost Off

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off
    #ProxyRemote https://<<cms-host>> http://proxy.xxx.de:8080

    # timeout
    ProxyTimeout 3600

    # load balancer IES-API
    <Proxy balancer://ies-api-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>

    ProxyPassMatch ^(/ies/api/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    ####### oder auf bestimmte Module begrenzt: ######
    # ProxyPassMatch ^(/ies/MODUL/.*)$                       balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # Beispiele: 
    # ProxyPassMatch ^(/ies/formservice/.*)$                 balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/infoticket/.*)$                  balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/jslibs/.*)$                      balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

</VirtualHost>

Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten

Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.

<VirtualHost *:80>

    ServerName ...
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...

    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ProxyPreserveHost On

    # timeout
    ProxyTimeout 3600

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off


    # load balancer
    <Proxy balancer://ies-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
        # auf den Webserver selbst beschränkt werden
        # Apache >= 2.4
        #Require all granted
        #Require host localhost [Hostname des Webservers]
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
        # Apache 2.2
        #Deny from all
        #Allow from localhost [IP-Adresse des Webservers]

        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0

        # Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
        # da dieser Anfragen automatisch intern an den IES weiterleitet.
        #BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0

        # Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
        # Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
        # Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
        #BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>

    # Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
    ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$  balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$                      balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
    <Directory <<DocumentRoot>>/WEB-INF>
        # Apache >= 2.4
        #Require all denied

        # Apache 2.2
        Order deny,allow
        Deny from all
    </Directory>


    # COUNTER 
    # Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
    #RedirectMatch  ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

    # Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
    # Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
    RewriteEngine on

    # Zugriff auf das CMS nur über den Webserver (als Proxy)
    RewriteRule ^/ies/counter(.*)           https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/infosite/counter(.*)      https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/ies/infosite/counter(.*)  https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>

Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen

Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.

Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:

Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.

Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.

In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.

Beispiel:

www.stadt-goldenberg.de
<<cms-host>: ies.stadt-goldenberg.de
<<ies-alias-hostname>>: ies-www.stadt-goldenberg.de
<<spml_live_folder>>: /live
<VirtualHost *:80>

    ServerName ...
    DocumentRoot ...
 
    ErrorLog        ...
    CustomLog       ...

    ...

    ###################################
    # IES integration using mod_proxy #
    ###################################

    # security
    ProxyRequests Off

    # always keep the host header
    ############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
    ProxyPreserveHost Off

    # Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
    SSLProxyCheckPeerName Off
    SSLProxyCheckPeerExpire Off

    # timeout
    ProxyTimeout 3600

    # load balancer IES
    <Proxy balancer://ies-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
        # auf den Webserver selbst beschränkt werden
        # Apache >= 2.4
        #Require all granted
        #Require host localhost [Hostname des Webservers]
        #Require ip 127.0.0.1 [IP-Adresse des Webservers]
        # Apache 2.2
        #Deny from all
        #Allow from localhost [IP-Adresse des Webservers]

        ############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
        BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
    </Proxy>

    # Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
    ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$  balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$                      balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
    # danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
    <Directory <<DocumentRoot>>/WEB-INF>
      # Apache >= 2.4
      #Require all denied
 
      # Apache 2.2
      Order deny,allow
      Deny from all
    </Directory>

    # load balancer IES-API
    <Proxy balancer://ies-api-balancer>
        # Apache >= 2.4
        #Require all granted

        # Apache 2.2
        Order Deny,Allow
        Allow from All

        # Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
        BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
    </Proxy>
    ProxyPassMatch ^(/ies/api/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    ####### weitere Module ######
    # ProxyPassMatch ^(/ies/MODUL/.*)$                         balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # Beispiele: 
    # ProxyPassMatch ^(/ies/formservice/.*)$                balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/infoticket/.*)$                  balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
    # ProxyPassMatch ^(/ies/jslibs/.*)$                      balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On

    # COUNTER 
    # Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
    #RedirectMatch  ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1

    # Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
    # Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
    RewriteEngine on

    # Zugriff auf das CMS nur über den Webserver (als Proxy)
    RewriteRule ^/ies/counter(.*)           http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/infosite/counter(.*)      http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
    RewriteRule ^/ies/infosite/counter(.*)  http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind

</VirtualHost>

Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115).

In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:

...
 # Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
 RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...

Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg

<?php
  if (!empty($_GET)) {
    $client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
    $prefix = "";

    // Für den Fall, dass es auch auf Testservern eingesetzt wird
    if (strrpos($_SERVER['SERVER_NAME'],"test")) {
      $prefix = ".test";
    }

    $url = null;

    //
    // Unterscheide anhand der Server- und ClientId des übergebenen 
    // Counter-Artikels die Server für die Weiterleitung

    // Stadt Goldenberg
    if ($client === "10123") {
      $url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter";

    // Kreis Goldenberg
    } else if  ($client === "10456") {
      $url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter";

    }

    // Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen. 
    if ($url !== null) {
      $url .= "?".$_SERVER['QUERY_STRING'];

      $context  = stream_context_create(array("http" => array("timeout" => 3)));
      return file_get_contents($url, NULL, $context);
    }
}
?>

Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration)

Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden.
Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Folgendes Szenario wird hier exemplarisch vorgestellt:
    Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern
D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS.
Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren.
Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.

Konfiguration auf dem öffentlichen Webserver / Proxy

Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
 cat client.pem client.key > both.pem 
Diese Datei wird als Client-Zertifikat eingebunden, z.B.:
    SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem

Konfiguration auf dem CMS-System

Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden,
bekannt gemacht werden:
    SSLEngine on
    SSLProxyEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
    SSLProtocol All -SSLv2 -SSLv3
    SSLCertificateFile    /etc/httpd/ssl/server.cert
    SSLCertificateKeyFile /etc/httpd/ssl/server.key
    SSLCACertificateFile  /etc/httpd/ssl/CA/CA.pem
In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:
    <Directory /webserver-path>
       SSLVerifyClient      require
       SSLVerifyDepth       5
       SSLOptions           +FakeBasicAuth
       SSLRequireSSL
       AuthName "Secure Area"
       AuthType basic
       AuthBasicProvider file
       AuthUserFile      .htpasswd
       Require valid-user
       ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

       # Optionale Freigabe Für Let's Encrypt
       #Require expr %{REQUEST_URI} =~ m#^/.well-known/acme-challenge/#
    </Directory>
Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.

.htpasswd-Beispiel für die Client-Authentifizierung

Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden,
so lautet der Inhalt der .htpasswd :
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.