|
|
- 目的
公司内网的服务或业务系统不宜直接暴露到外部公网上,常见做法是在DMZ区域配置一台服务器,实现http或https转发。本次实验要实现的目标,即在linux服务器上安装apache httpd server,通过配置实现http/https转发。
- 环境及文件准备
2.1. 目标系统为Oracle linux虚拟机,已预装openssl-0.9.8a, apache-2.2.3
2.2. apache:apache httpd-2.2.29
2.3. 依赖包:
openssl:openssl-1.0.2a.tar.gz
apr:
apr-1.5.1.tar.gz,
apr-util-1.5.4.tar.gz,
zlib:
zlib-1.2.8.tar.gz。
注:本文安装程序采用的是下载源文件后编译并安装的方式。
- 操作步骤
主要包括三个步骤,安装openssl等apache依赖的其他相关程序 -> 安装apache httpd并设置http代理与反向代理 -> 生成ssl证书并配置虚拟机以及https代理与反向代理。
步骤1、安装依赖包
#### 安装 apr
# 首先,解压tar包
tar zxvf apr-1.5.1.tar.gz
# 然后,转到解压后的目录
cd apr-1.5.1
# 最后,依次执行configure、编译和安装命令
./configure --prefix=/usr/local/apr
make
make install
#### 安装 apr-util,步骤基本同上,在执行configure时,指定apr位置
./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
#### 安装 openssl1.0.2a,步骤基本同上,configure命令按如下:
./config --prefix=/usr/local/openssl
# make && make install后的额外步骤:
# 1)、在/usr/local目录下添加一个软链接,便于以后设置ssl
ln -s openssl ssl
# 2)、在/etc/ld.so.conf文件的最后面,添加如下内容:/usr/local/openssl/lib
# 3)、执行ldconfig
ldconfig
# 4)、添加openssl的环境变量:
# 在 etc/ 的profile的最后一行,添加:
export OPENSSL=/usr/local/openssl/bin
export PATH=$OPENSSL:$PATH:$HOME/bin
# 5)、退出当前Terminal 命令界面,并重新登陆。注意此步骤不能缺少。
# 6)、检测openssl的安装情况
cd /usr/local
ldd /usr/local/openssl/bin/openssl
# 此步骤执行后会出现类似如下信息:
linux-vdso.so.1 => (0x00007fff3bc73000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007fc5385d7000)
libc.so.6 => /lib64/libc.so.6 (0x00007fc538279000)
/lib64/ld-linux-x86-64.so.2 (0x00007fc5387db000)
# 查看路径
which openssl
# 显示:/usr/local/openssl/bin/openssl
# 查看版本
openssl version
# 显示: OpenSSL 1.0.2a 27 Mar 2015
# 至此,openssl-1.0.2a安装完毕。
#### 安装zlib,步骤同上
./configure
步骤2、安装httpd并配置httpd.conf
tar zxvf httpd-2.2.29.tar.gz
cd httpd-2.2.29
# 在执行configure之前,先执行这句(*详见:问题及解决办法4.4章节)
export LDFLAGS=-ldl
# 执行configure
./configure --prefix=/usr/local/apache --enable-so --enable-ssl=static --with-ssl=/usr/local/openssl --enable-mods-shared=all --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util
# 编译和安装
make
make install
步骤3、生成ssl证书及配置https代理及反向代理
ssl证书生成过程见问题及解决办法4.5章节,本处假定已经生成server.crt、server.key文件。则http/https的代理及反向代理配置方法:
#### 修改apache虚拟机主机配置文件 usr/local/apache/conf/extra/httpd-vhost.conf:
#使用vi在文件中相应位置添加:
NameVirtualHost *:443
<VirtualHost *:443>
DocumentRoot /usr/local/apache/htdocs
ServerName TechRunner
SSLEngine on
SSLProxyEngine on
SSLCertificateFile /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key
ProxyRequests off
ProxyPass / https://****.com/
ProxyPassReverse / https://****.com/
</VirtualHost>
#### 配置apache /usr/local/apache/conf/httpd.conf:
# 指定虚拟主机配置文件并将其附加到主配置文件
Include conf/extra/httpd-vhosts.conf
# 指定SSL配置文件并将其附加到主配置文件
Include conf/extra/httpd-ssl.conf
最后,启动apache
# 若本机仅安装了一个apache服务器,则可使用如下命令关闭/启动/重启/查看状态:
service httpd stop/start/restart/status
# 否则,可通过指定httpd程序和httpd.conf配置文件的方式启动:
/usr/local/apache/bin/httpd -f /usr/local/apache/conf/httpd.conf -k start
- 问题及解决办法
4.1. 端口占用
当系统安装了多个httpd时,若配置不当,可能存在端口(默认80)占用。此时需要查找并关闭占用80端口的程序。
#查看占用80端口的进程(显示pid):
netstat -pan | grep :80
#查找并kill掉占用80端口的所有进程:
lsof -i :80|grep -v "PID"|awk '{print "kill -9",$2}'|sh
4.2. 启动多个httpd进程
使用命令:
/usr/local/apache/bin/httpd -f /路径1/httpd.conf -k start
/usr/local/apache/bin/httpd -f /路径2/httpd.conf -k start
这样就可以加载不同的配置文件httpd.conf,从而启动多个httpd(apache)进程了。
4.3. 如何加载ssl_module
网上查到的内容,需要通过修改httpd.conf,启用LoadModule ssl_module modules/mod_ssl.so,但实际上httpd-2.2.26版本httpd.conf文件中无此项,这是因为它已经内建ssl,不需要再声明加载此模块。
4.4. 安装httpd时报错:configure: error: ... Error, SSL/TLS libraries were missing or unusable
解决办法:在configure之前,执行如下一句设置环境变量:
export LDFLAGS=-ldl
参见:http://www.metsky.com/archives/563.html
4.5. 制作ssl证书
一般步骤:
# 首先,生成服务器密钥(采用des3算法):
openssl genrsa -des3 -out server.key 1024
# 或者采用默认的128位rsa算法,生成密钥,得到server.key文件
# openssl genrsa 1024 >server.key
# 其次,生成服务器证书请求文件,并按要求逐一填些相关证书信息:
openssl req -new -key server.key -out server.csr
# 最终,生成证书(签证):
openssl x509 -req -days 700 -in server.csr -signkey server.key -out server.cert
# 其中,-days参数指明证书有效期,单位为天。
# Signature ok,将crt和key文件放到指定的conf目录下:
cp server.crt server.key /usr/local/apache/conf
4.6. 关于单独加载proxy_modules
httpd 安装完成后,检查httpd.conf文件,发现未加载proxy_module和proxy_http_module。若存在这种问题,将导致无法配置实现http/https代理与反向代理。经查询,此问题可以通过单独编译和加载proxy_modules的方式来解决。
首先,进入apache解压后源码目录下的modules/proxy目录,
然后,运行如下命令自动编译、安装和修改httpd.conf文件,激活mod_proxy模块:
apachepath/bin/apxs -c -i -a mod_proxy.c proxy_util.c
apachepath/bin/apxs -c -i -a mod_proxy_http.c proxy_util.c
# apxs命令选项说明:
-c 执行编译操作
-i 安装操作,安装一个或多个动态共享对象到服务器的modules目录
-a 自动增加一个LoadModule行到httpd.conf文件,以激活此模块,若此行存在则启用之
-A 与-a类似,但是它增加的LoadModule行前有井号前缀(#)
-e 需要执行编辑操作,可与-a和-A选项配合使用,
与-i操作类似,修改httpd.conf文件,但并不安装此模块
执行完后,检查httpd.conf,发现proxy_modules, proxy_http_modules已经加载。
最后,重启apache。
- 测试结果及总结
通过配置apache虚拟机,实现了http/https的自动转发。
补充1:
以下,通过httpd_vhost.conf配置了两个apache虚拟机,分别模拟http和https的转发:
NameVirtualHost *:81
NameVirtualHost *:443
<VirtualHost *:81>
ServerAdmin webmaster@dummy-host2.example.com
DocumentRoot "/usr/local/apache/htdocs"
ServerName ****:81
ErrorLog "logs/mt19-error_log"
CustomLog "logs/mt19-access_log" common
ProxyRequests off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass /examples http://192.168.*.*:8080/examples
ProxyPassReverse /examples http://192.168.*.*:8080/examples
</VirtualHost>
<VirtualHost *:443>
DocumentRoot /usr/local/apache/htdocs
ServerName ****
SSLEngine on
SSLProxyEngine on
SSLCertificateFile /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key
ProxyRequests off
ProxyPass / https://*.com:8445/
ProxyPassReverse / https://*.com:8445/
</VirtualHost>
补充2:
配置此httpd,将内网的http访问请求转换为https请求访问外网地址:
修改httpd-vhost.conf:
LISTEN 8445 #监听8445端口
NameVirtualHost *:8445 #配置虚拟机端口
##### 配置虚拟机:#####
<VirtualHost *:8445>
SSLProxyEngine on
ProxyRequests off
ProxyPass / https://***.com:8445/
ProxyPassReverse / https://***.com:8445/
</VirtualHost>
版权声明:本文为博主原创文章,未经博主允许不得转载。 |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2015-11-14 07:26:49
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡