Integration des IES in den Apache
Allgemeines
Der IES ist i.d.R. für sämtliche Dateien im DocumentRoot
eines Publishers zuständig. Die Dateien werden entsprechend über den Nutzer des IES angelegt. Da jedoch der Apache diese lesen bzw. über PHP verändern / ergänzen können sollte, empfehlen wir die Zugriffsrechte entsprechend einzustellen. Unter Linux kann das einfach erreicht werden, indem der Nutzer des Webservers auch in die Gruppe ies
aufgenommen wird. Die UMASK des IES ist entsprechend voreingestellt.
Konfiguration des DocumentRoot
Im DocumentRoot eines Publikationsbereiches werden neben den eigentlichen Artikeldaten auch noch Systemdaten der IES-Module gespeichert. Diese dienen u.a. zum Aufbau einer Sitemap o.ä. Damit diese vor direkten URL-Aufrufen geschützt werden können, werden entsprechende .htaccess-Dateien durch die Module generiert. Hierzu muss im Apache (und im Microsoft IIS über die Erweiterung Helicon Ape) die Auswertung dieser Daten erlaubt werden.
Da der IES sämtliche Daten der Module in das Unterverzeichnis /WEB-IES/ speichert ist die Konfiguration wie folgt möglich:
<VirtualHost *:80>
<Directory "....$PATH_TO_DOCUMENT_ROOT.../WEB-IES">
Options -Indexes
AllowOverride LIMIT
</Directory>
</VirtualHost>
Allgemeine Hinweise zur Integration
Die Integration des IES in den "Internet Information Server" von Microsoft ist über den sog. JK-Connector prinzipiell möglich. Weitere Informationen hierzu finden Sie im Internet
Grundsätzlich empfehlen wir sowohl unter Linux, wie auch unter Windows den Einsatz des Apache-Webservers, da wir aufgrund unserer Erfahrungen hier den besten Support liefern können.
Für die optionale Integration des IES in den Apache Webserver empfehlen wird das Apache-Modul proxy_http
. Folgende Konfiguration kann als Vorlage dienen. Die ProxyPassMatch
Anweisungen sind jedoch erst ab der Version 2.2.5 verfügbar.
Folgende Module sind für die unten aufgeführten Konfigurationsvorlagen notwendig:
mod_proxy mod_proxy_balancer mod_proxy_http mod_lbmethod_byrequests # ab Apache 2.4 für proxy notwendig!!! mod_rewrite mod_ssl mod_headers
Da Passwörter und andere vertrauliche Daten mit dem IES ausgetauscht werden, muss immer HTTPS für den Apache eingerichtet werden.
Die Setzung ProxyPreserveHost legt fest, ob der ursprünglich im Request übergebene Hostname auch beim Proxy-Request angegeben wird, oder ob der Hostname der Balancer-Konfiguration verwendet wird.
Die Proxy-Regeln leiten alle relevanten Anfragen an den CMS-Server weiter. Je nach Ziel-Port, der in der Balance-Konfiguraion angegeben wird, wird der Request an den Apache oder den IES auf dem CMS-Server weitergeleitet. Wir empfehlen hier die Kommunikation über den Apache (Port 80 bei internen Requests, sonst Port 443). Soll der Zugriff direkt auf den IES erfolgen, ist folgende Anpassung der Bind-Address in der sitepark.conf notwendig: IES_BIND_ADDRESS="0.0.0.0" erforderlich. Damit ist der IES aber auch von allen anderen Rechern aus direkt erreichbar.
Im IES sind alle Domains und Aliase in den Publisher-Konfigurationen automatisch für HTTP-Anfragen gebunden, wenn diese für Live-Abfragen aktiviert wurden (Publikationsbereich als Modul verwenden - Wir raten in diesem Zusammenhang dringend zu der Einschränkung auf ein bestimmtes Verzeichnis). Das bedeutet, dass alle Anfragen an eine der in den Publishern konfigurierten Domains, die an den IES geleitet werden, über den IES mit entsprechenden DocumentRoot ausgeführt werden. Aufrufe von IES-Modulen sind mit diesen URLs damit daher nicht möglich. Sollen direkt Funktionen des IES (z.B. InfoSite oder IES-API) angesprochen werden, muss der IES über einen Domain-Namen oder eine IP aufgerufen werden, die in keinen Publisher konfiguriert wurde.
Hinweise zur Integration des IES in den Apache
Für die Integration des IES in den Apache sollte ein eigener Virtueller Host eingerichtet werden. Für diesen Virtueller Host ist kein DocumentRoot notwendig!
Aufruf des IES Über den Apache
<VirtualHost *:80>
ServerName <<cms-host>>
# Alle gültigen IES-Anfragen, die auf Port 80 erfolgen, sollten vollständig an Port 443 umgelenkt werden. Diese Aufrufe können zum einen durch
# Redakteure erfolgen, die häufig URLs ohne "https" eingeben, zum anderen aber auch durch Aufrufe, die durch SPML- bzw. JSP-Seiten erzeugt werden,
# da diese intern über "http" auf Port 8080 bearbeitet werden und keine Informationen dazu haben, dass SSL von Außen eingesetzt wird.
RedirectMatch ^(.*)$ https://<<cms-host>>$1
</VirtualHost>
<VirtualHost *:80>
# Redirects
ServerName infosite.<<cms-domain>>
ServerAlias citygov.<<cms-domain>>
ServerAlias newsdesk.<<cms-domain>>
ServerAlias infosite5.<<cms-domain>>
ServerAlias infosite6.<<cms-domain>>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} infosite6.<<cms-domain>> [OR]
RewriteCond %{HTTP_HOST} infosite.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite6/ [L,R=301]
RewriteCond %{HTTP_HOST} infosite5.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/ [L,R=301]
RewriteCond %{HTTP_HOST} newsdesk.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/infosite/control/?SYS_gui=gui2 [L,R=301]
RewriteCond %{HTTP_HOST} citygov.<<cms-domain>>
RewriteRule ^/$ https://<<cms-host>>/ies/module/city-gov/ [L,R=301]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
ServerName <<cms-host>>
ErrorLog /var/log/apache2/<<cms-host>>.err
CustomLog /var/log/apache2/<<cms-host>>.log combined
# Infosite redirect
RewriteEngine On
RewriteRule ^/$ /ies/admin/ [R,L]
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# timeout
ProxyTimeout 3600
# always keep the host header
ProxyPreserveHost On
# load balancer
<Proxy balancer://ies-balancer>
Require all granted
#AuthType Basic
#AuthName "IES Server"
#AuthUserFile "/etc/.htpasswd"
#Require valid-user
#Require ip 192.168.1
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der Header X-IES-SCHEME auf https gesetzt werden, da nur so
# innerhalb von IES-Applikationen ${system.baseurl} richtig aufgelöst wird. Weitere X-IES Header-Angaben sind i.d.R. nicht notwendig
#RequestHeader set X-IES-SERVER-NAME "ies.intern.net" # evtl. abweichender ServerName
#RequestHeader set X-IES-SERVER-PORT "1443" # evtl. abweichender Port
RequestHeader set X-IES-SCHEME "https"
Header set X-Frame-Options SAMEORIGIN
</VirtualHost>
Hinweise zur Integration von IES-Anfragen in dem Apache des Webservers
Webseiten-Apache-Konfiguration mit Zugriff auf den lokalen Webnode
Für Zugriffe des Apache auf den lokalen IES-Webnode (z.B. für Solr-Suchen) ist folgende Konfiguration notwendig:
<VirtualHost *:80>
...
ProxyTimeout 3600
<Proxy balancer://ies-webnode-balancer>
# Apache >= 2.4
#Require all denied
#Require host localhost
#Require ip 82.140.11.34 127.0.0.1
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 82.140.11.34 127.0.0.1 localhost
BalancerMember http://localhost:8381
</Proxy>
ProxyPassMatch ^(/ies-webnode/.*)$ balancer://ies-webnode-balancer$1
...
</VirtualHost>
Webseiten-Apache-Konfiguration mit IES-API Zugriff
Dies Konfiguration ist notwendig für:
- den I-Link im SRPC-Modus in InfoSite6
- Module und Komponenten mit Live-Abfragen (zB. Verzeichnismodul mit der Möglichkeit Objekte anzulegen)
- CityCall mit Anbindung an das Ticketsystem
<VirtualHost *:80>
ServerName <<hostname>>
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
ProxyPreserveHost Off
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
# timeout
ProxyTimeout 3600
# load balancer IES-API
<Proxy balancer://ies-api-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### oder auf bestimmte Module begrenzt: ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
</VirtualHost>
Webseiten-Apache-Konfiguration für Publikationsbereiche mit Live-Komponenten
Publikationsbereiche des IES die Live-Komponenten verwenden und somit auf den IES zugreifen müssen, werden wie folgt konfiguriert. Diese Konfiguration kann für aktuelle Anforderungen mit Zugriffen auf den IES über die IES-API nicht verwendet werden.
<VirtualHost *:80>
ServerName ...
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
ProxyPreserveHost On
# timeout
ProxyTimeout 3600
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
# load balancer
<Proxy balancer://ies-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
# auf den Webserver selbst beschränkt werden
# Apache >= 2.4
#Require all granted
#Require host localhost [Hostname des Webservers]
#Require ip 127.0.0.1 [IP-Adresse des Webservers]
# Apache 2.2
#Deny from all
#Allow from localhost [IP-Adresse des Webservers]
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
# Alternativ kann auch direkt der Apache des CMS-Systems angesprochen werden,
# da dieser Anfragen automatisch intern an den IES weiterleitet.
#BalancerMember http://<<cms-host>>:80 timeout=3600 retry=0
# Bei Zugriff via SSL empfehlen wir die Verschlüsselung über den Apache zu konfigurieren.
# Dieser leitet dann die unverschlüsselte Anfrage an den lokalen IES (intern über Port 8080)
# Wird der BalanceMember via HTTPS angesprochen muss noch SSLProxyEngine auf ON gesetzt werden (s.o.)
#BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
# Apache >= 2.4
#Require all denied
# Apache 2.2
Order deny,allow
Deny from all
</Directory>
# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1
# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on
# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) https://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
</VirtualHost>
Alternative Variante, wenn IES-API UND SPML-Seite unterstützt werden müssen
Für den I-Link im SRPC-Modus in InfoSite6 muss der Zugriff auf die IES-API konfiguriert werden.
Damit nun sowohl Live-Abfragen (SPML-Seiten im DocumentRoot eines Publishers), als auch IES-Funktionen (wie die IES-API) von einer URL aufgerufen werden können ist ein kleiner Umweg notwendig, der hier beschrieben wird:
Es ist für jede Domain, für die diese zwei Formen des Zugriffs auf den IES notwendig sind, ein eigener Domain-Name, der auf den CMS-Server zeigt notwendig. Dieser kann entweder im DNS oder auch nur in den HOST-Dateien des CMS- und Webservers eingetragen werden. Weiterhin wird dieser Domain-Name über IES-Admin als Alias im entsprecheden Publisher konfiguriert. Auch sollte der Domain-Name im Apache als ServerAlias für den IES konfiguriert werden.
Unterschiedliche Balancer-Regeln auf dem Webserver sorgen nun dafür, dass so entwerder IES-Funktionen oder Live-Funktionen des Publishers ausgeführt werden, indem entweder die Alias-URL des Publishers oder die URL des IES verwendet wird.
In dem unten aufgeführten Beispiel wird die Kommunikation via HTTPs realisiert. Der Domain-Name <<ies-alias-hostname>> und CMS-Host <<cms-host>> ist entsprechend zu ersetzen.
Beispiel:
www.stadt-goldenberg.de <<cms-host>: ies.stadt-goldenberg.de <<ies-alias-hostname>>: ies-www.stadt-goldenberg.de <<spml_live_folder>>: /live
<VirtualHost *:80>
ServerName ...
DocumentRoot ...
ErrorLog ...
CustomLog ...
...
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
############# WICHTIG: muss auf 'Off' stehen, damit der Wert des Balancers übertragen wird #################
ProxyPreserveHost Off
# Bei Zugriff auf BalanceMember via HTTPS einzelne Setzungen aktivieren
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN Off
SSLProxyCheckPeerName Off
SSLProxyCheckPeerExpire Off
# timeout
ProxyTimeout 3600
# load balancer IES
<Proxy balancer://ies-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Werden nur spml Seiten aufgerufen, kann der Zugriff, der nur über php erfolgen soll,
# auf den Webserver selbst beschränkt werden
# Apache >= 2.4
#Require all granted
#Require host localhost [Hostname des Webservers]
#Require ip 127.0.0.1 [IP-Adresse des Webservers]
# Apache 2.2
#Deny from all
#Allow from localhost [IP-Adresse des Webservers]
############# WICHTIG: Es muss der richtige Hostname gesetzt werden #################
BalancerMember https://<<ies-alias-hostname>>:443 timeout=3600 retry=0
</Proxy>
# Der Ordner, der am Publisher für SPML-Live-Seiten konfiguriert wurde muss für "<<spml_live_folder>>" eingesetzt werden
ProxyPassMatch ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
ProxyPassMatch ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 stickysession=JSESSIONID nofailover=On
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
# Apache >= 2.4
#Require all denied
# Apache 2.2
Order deny,allow
Deny from all
</Directory>
# load balancer IES-API
<Proxy balancer://ies-api-balancer>
# Apache >= 2.4
#Require all granted
# Apache 2.2
Order Deny,Allow
Allow from All
# Wenn lokal: BalancerMember http://localhost:8080 timeout=3600 retry=0
BalancerMember https://<<cms-host>>:443 timeout=3600 retry=0
</Proxy>
ProxyPassMatch ^(/ies/api/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
####### weitere Module ######
# ProxyPassMatch ^(/ies/MODUL/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# Beispiele:
# ProxyPassMatch ^(/ies/formservice/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/infoticket/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# ProxyPassMatch ^(/ies/jslibs/.*)$ balancer://ies-api-balancer$1 stickysession=JSESSIONID nofailover=On
# COUNTER
# Variante 1: RedirectMatch auf den Server (CMS muss öffentlich erreichbar sein)
#RedirectMatch ^/ies/counter(.*) https://<<cms-host>>/ies/infosite/counter$1
# Variante 2: Rewrite, wenn über eine RewriteCondition noch Bedingungen angegeben werde sollen.
# Rewrite um die Counter-Aufrufe (unabhaengig von Aliases) an das CMS (mit der konfigurierten Publisher-URL) zu schicken
RewriteEngine on
# Zugriff auf das CMS nur über den Webserver (als Proxy)
RewriteRule ^/ies/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
RewriteRule ^/ies/infosite/counter(.*) http[s]://<<cms-host>>/ies/infosite/counter$1 [L,NE,P] # Proxy NICHT, wenn CMS- und Webserver ein Host sind
</VirtualHost>
Apache-Konfiguration Version < 2.2.5
Bei älteren Apache-Versionen (< Version 2.2.5) ist unter Umständen statt einer ProxyPassMatch
eine RewriteRule
einzusetzen:
###################################
# IES integration using mod_proxy #
###################################
# security
ProxyRequests Off
# always keep the host header
ProxyPreserveHost On
# timeout
ProxyTimeout 3600
# load balancer
<Proxy balancer://ies-balancer>
Order Deny,Allow
Allow from All
BalancerMember http://localhost:8080 timeout=3600 retry=0
</Proxy>
RewriteEngine On
RewriteRule ^(/<<spml_live_folder>>/.*\.spml(;jsessionid=\w+)?(\?.*)?) balancer://ies-balancer$1 [P]
RewriteRule ^(/<<spml_live_folder>>/ies/binary/.*)$ balancer://ies-balancer$1 [P]
# danach sollte, um die taglibs und andere für den IES notwendigen Elemente NICHT vom Apache ausliefern zu lassen, der Zugriff durch den Apache verboten werden
<Directory <<DocumentRoot>>/WEB-INF>
Order deny,allow
Deny from all
</Directory>
RewriteRule ^(/infosite-webdav/.*)$ balancer://ies-balancer$1 [P]
# Innerhalb eines Virtuellen Hosts für HTTPS sollte immer der
# Header X-IES-SCHEME auf https gesetzt werden,
# da nur so innerhalb von IES-Applikationen ${system.baseurl}
# richtig aufgelöst wird.
#RequestHeader set X-IES-SCHEME "https"
Counter Konfiguration für einen Virtual-Host, der von verschiedenen CMS-Server geschrieben wird (z.B. für CityCall115).
In der Virtual-Host Konfiguration des Webservers genügt dieser Eintrag für die Weiterleitung der Counter-Aufrufe:
...
# Alle Counter-Requests an eine vom CMS gepflegte PHP-Seite:
RewriteRule ^/ies/counter(.*) /counter.php$1 [L,NE]
...
Hier der Inhalt der php Seite 'counter.php' am Beispiel CityCall für Stadt und Kreis Goldenberg
<?php
if (!empty($_GET)) {
$client = substr(htmlspecialchars($_GET["SYS_CNTR_id"]),0,5);
$prefix = "";
// Für den Fall, dass es auch auf Testservern eingesetzt wird
if (strrpos($_SERVER['SERVER_NAME'],"test")) {
$prefix = ".test";
}
$url = null;
//
// Unterscheide anhand der Server- und ClientId des übergebenen
// Counter-Artikels die Server für die Weiterleitung
// Stadt Goldenberg
if ($client === "10123") {
$url = "http://cms".$prefix.".stadt-goldenberg.de/ies/infosite/counter";
// Kreis Goldenberg
} else if ($client === "10456") {
$url = "http://cms".$prefix.".kreis-goldenberg.de/ies/infosite/counter";
}
// Die Parameter des Aufrufes ergänzen und die Seite mit einem Timeout (3 bis 5 Sekunden) aufrufen.
if ($url !== null) {
$url .= "?".$_SERVER['QUERY_STRING'];
$context = stream_context_create(array("http" => array("timeout" => 3)));
return file_get_contents($url, NULL, $context);
}
}
?>
Integration eines sog. Client Zertifikats für die Kommunikation mit dem CMS-Server (optionale Konfiguration)
Um dem Webserver zu gestatten sich dem CMS gegenüber als valider Client zu authentifizieren kann ein client-Zertifikat eingebunden werden. Allgemein empfiehlt sich das genaue Studium der Apache-Doku zu diesem Thema: http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Folgendes Szenario wird hier exemplarisch vorgestellt: Web-Client <--> öffentlicher Webserver mit Client-Zertifikat <-- HTTPS --> CMS-Server intern D.h. der Webbrowser sendet über den öffentlichen Webserver als Proxy seine Anforderungen an das CMS. Dabei verwendet der Proxy das konfigurierte Client-Zertifikat, um sich dem CMS-Server gegenüber zu autorisieren. Ob der Webbrowser über HTTP oder HTTPS mit dem Proxy kommuniziert ist unerheblich. Die Kommunikation mit dem CMS erfolgt immer über HTTPS.
Konfiguration auf dem öffentlichen Webserver / Proxy
Zunächst wird eine Datei both.pem aus dem nicht verschlüsselten Zertifikat und dem zugehörigen Schlüssel erzeugt:
cat client.pem client.key > both.pem
Diese Datei wird als Client-Zertifikat eingebunden, z.B.:
SSLProxyMachineCertificateFile /etc/httpd/ssl/both.pem
Konfiguration auf dem CMS-System
Bei der klassischen SSL-Konfiguration muss dem Server zusätzlich das Haupt-CA-Zertifikat CA.pem, mit dem die Client-Schlüssel erzeugt wurden, bekannt gemacht werden:
SSLEngine on
SSLProxyEngine on
SSLCipherSuite ALL:!ADH:!EXPORT:+RSA:+HIGH:+MEDIUM:-RC4:-LOW
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /etc/httpd/ssl/server.cert
SSLCertificateKeyFile /etc/httpd/ssl/server.key
SSLCACertificateFile /etc/httpd/ssl/CA/CA.pem
In dem betreffenden geschützten Verzeichnis ist dann eine Art Schein-Basic-Authentication nach dem folgenden Muster einzurichten:
<Directory /webserver-path>
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Secure Area"
AuthType basic
AuthBasicProvider file
AuthUserFile .htpasswd
Require valid-user
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"
</Directory>
Es wird also gegen die .htpasswd-Datei authentifiziert, in welcher alle validen Client-Zertifikate eingetragen sein müssen.
.htpasswd-Beispiel für die Client-Authentifizierung
Ist für den Client der CommonName '/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient' vergeben worden, so lautet der Inhalt der .htpasswd :
/C=DE/ST=NRW/L=M\xC3\xBCnster/O=SitePark GmbH/OU=Administration/CN=MyClient:xxj31ZMTZzkVA
Das Passwort entspricht dabei der DES-verschlüsselten Zeichenkette "password". Es wird anscheinend nicht wirklich benutzt.