Hello,
Naar aanleiding van een eerder topic over de veiligheid van een intranet+aangesloten applicaties ben ik begonnen met het implementeren van SSL.
Het intranet wordt door Apache geserveert, de applicaties draaien elk hun eigen 'webserver'+webinterface en worden dmv een proxy in Apache doorgestuurt naar de client. Op die manier hoeft er slechts 1 poort open te staan en kan de authentificatie centraal geschieden dmv de Digest Authentificatie module van Apache.
Nu wil ik dit geheel dus voorzien van SSL. Het deel wat ook echt door Apache geserveert wordt is geen probleem, dat draait naar behoren. Het probleem zit hem in de proxy's. Ik wil graag dat het verkeer tussen de client en Apache laten versleutelen met SSL, tussen Apache en de applicatie mag onversleuteld. Apache en de applicaties draaien op dezelfde server, en het verkeer daartussen is niet vrij-toegankelijk en hoeft daardoor niet versleuteld te zijn.
Relevant van deel van de httpd.conf
Dit lijkt mij de meest logische config, de eerste virtualhost is voor de Apache geserveerde content, die werk naar behoren. De 2e is een proxy voor een applicatie. Als ik deze laat luisteren naar poort 443 ipv 80 start Apache niet meer op zonder error-logvermelding.
Op internet is er genoeg te vinden over het versleutelen van de andere kant van de proxy (Apache<=>app), maar erg weinig over client<=>Apache. Wat is de juiste manier om dit aan te pakken?
Alvast bedankt
Naar aanleiding van een eerder topic over de veiligheid van een intranet+aangesloten applicaties ben ik begonnen met het implementeren van SSL.
Het intranet wordt door Apache geserveert, de applicaties draaien elk hun eigen 'webserver'+webinterface en worden dmv een proxy in Apache doorgestuurt naar de client. Op die manier hoeft er slechts 1 poort open te staan en kan de authentificatie centraal geschieden dmv de Digest Authentificatie module van Apache.
Nu wil ik dit geheel dus voorzien van SSL. Het deel wat ook echt door Apache geserveert wordt is geen probleem, dat draait naar behoren. Het probleem zit hem in de proxy's. Ik wil graag dat het verkeer tussen de client en Apache laten versleutelen met SSL, tussen Apache en de applicatie mag onversleuteld. Apache en de applicaties draaien op dezelfde server, en het verkeer daartussen is niet vrij-toegankelijk en hoeft daardoor niet versleuteld te zijn.
Relevant van deel van de httpd.conf
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| .......................
NameVirtualHost *:443
# Framework
<VirtualHost *:443>
ServerName framework.domein.nl
DocumentRoot C:/Applicaties/WAMP/www/
SSLEngine on
<Directory C:/Applicaties/WAMP/www/>
AuthUserFile /Applicaties/WAMP/pwds/.htpasswd
AuthType Digest
AuthName "Inloggen aub"
require valid-user
order deny,allow
satisfy any
deny from all
allow from 82.169.**.****
</Directory>
</VirtualHost>
# Applicatie1
<VirtualHost *:443>
ServerName app1.domein.nl
SSLProxyEngine On
ProxyPass / http://192.168.1.51:8000/
ProxyPassReverse / http://192.168.1.51:8000/
<Proxy *>
AuthUserFile /Applicaties/WAMP/pwds/.htpasswd
AuthType Digest
AuthName "Inloggen aub"
require valid-user
order deny,allow
satisfy any
deny from all
allow from 82.169.**.***
</Proxy>
</VirtualHost>
..................... |
Dit lijkt mij de meest logische config, de eerste virtualhost is voor de Apache geserveerde content, die werk naar behoren. De 2e is een proxy voor een applicatie. Als ik deze laat luisteren naar poort 443 ipv 80 start Apache niet meer op zonder error-logvermelding.
Op internet is er genoeg te vinden over het versleutelen van de andere kant van de proxy (Apache<=>app), maar erg weinig over client<=>Apache. Wat is de juiste manier om dit aan te pakken?
Alvast bedankt
[ Voor 5% gewijzigd door Clock op 09-02-2011 15:15 ]