Для работы серверных компонентов системы на ОС Linux требуется веб-сервер, работающий в режиме работы обратного прокси-сервера.
Apache — один из самых популярных HTTP-серверов, который также имеет возможность работы в режиме обратного прокси-сервера.
Установка Apache
Чтобы установить Apache, выполните следующие команды в зависимости от используемого дистрибутива или выбрав сборку из исходного кода:
RHEL и производные дистрибутивы
sudo yum install httpd
sudo systemctl enable httpd
sudo systemctl start httpd
|
Debian и производные дистрибутивы
sudo apt install apache2
sudo systemctl enable apache2
sudo service apache2 start
|
Установка из исходного кода
- Скачайте последний релиз с портала производителя.
- Из папки со скачанным дистрибутивом выполните эти команды:
При выполнении команд замените "NN" на версию скачанного дистрибутива, например, 2.4.57 |
gzip -d httpd-NN.tar.gz
tar xvf httpd-NN.tar
cd httpd-NN
./configure --prefix=/usr/local/apache2
make
make install
/usr/local/apache2/bin/apachectl -k start
|
Требования к установке, а также подробный процесс установки из исходного кода описаны на портале производителя.
Выпуск SSL/TLS сертификата
Для настройки защищенного соединения необходимо выпустить SSL/TLS сертификат на имя рабочей станции с установленным apache.
Возможно выпустить самоподписанный сертификат или сертификат с УЦ.
Самоподписанный сертификат
Создайте самоподписанный сертификат утилитой openssl (вместо SERVER_FQDN подставьте DNS-имя рабочей станции с Apache):
sudo openssl req -x509 -nodes -addext "subjectAltName=DNS:SERVER_FQDN,DNS:www.SERVER_FQDN" -days 730 -newkey rsa:2048 -keyout /etc/apache2/ssl/SSL.key -out /etc/apache2/ssl/SSL.crt
|
Добавьте сертификат в доверенные на локальной рабочей станции в соответствии с выбранной для настройки ОС.
Для RHEL и производных дистрибутивов:
sudo cp /etc/apache2/ssl/SSL.crt /etc/pki/ca-trust/source/anchors/SSL.crt
sudo update-ca-trust extract
|
Для Debian и производных дистрибутивов:sudo cp /etc/apache2/ssl/SSL.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates -f
|
- Сделайте сертификат доверенным в домене, например, с помощью групповых политик.
Выпуск сертификата на УЦ
Выпустите сертификат на УЦ, например на Microsoft CA, экспортируйте данный сертификат в формате .pfx (с закрытым ключом, с цепочкой корневых/промежуточных УЦ) на рабочую станцию с установленным apache.
Субъект (Subject) сертификата должен содержать FQDN сервера Apache.
Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера Apache). Например: astra.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).
Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).
Разделите .pfx сертификат на файл цепочки сертификатов и ключ, сделайте файл закрытого ключа без пароля (необходимо подставить имя импортированного файла вместо PFXFILE):
openssl pkcs12 -in PFXFILE.pfx -chain -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > SSL.crt
openssl pkcs12 -in PFXFILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > root-ca.crt
openssl pkcs12 -in PFXFILE.pfx -nocerts -out SSLencrypted.key
openssl rsa -in SSLencrypted.key -out SSL.key
rm SSLencrypted.key
|
Файл цепочки сертификатов SSL.crt должен выглядеть так:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
|
Добавьте на рабочую станцию с установленным apache сертификат корневого УЦ в список доверенных.
Для RHEL и производных дистрибутивов:
sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract
|
Для Debian и производных дистрибутивов:sudo cp root-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates -f
|
Скопируйте файлы цепочки сертификатов и ключа в папку, которая будет указана в настройках сайта Apache:
sudo cp SSL.crt /etc/apache2/ssl/
sudo cp SSL.key /etc/apache2/ssl/
|
Настройка модулей и конфигурации
Apache реализован в виде ядра и модулей, которые подключаются по необходимости использования дополнительной функциональности.
Для работы системы включите модули:
sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod ssl
sudo a2enmod headers
sudo a2enmod rewrite
sudo systemctl restart apache2
|
- Добавьте следующие директивы в конфигурационный файл Apache (apache2.conf), по умолчанию расположенный по пути /etc/apache2/apache2.conf.
(в данном месте и далее замените "SERVER_FQDN" на имя используемого сервера)
Listen 3003
LimitRequestLine 16384
LimitRequestFieldSize 16384
ServerName SERVER_FQDN
Header append X-FRAME-OPTIONS "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
|
При установке Apache в ОС Astra Linux в файле apache2.conf может потребоваться отключение параметра AstraMode, подробнее на портале Astra Linux.
Настройка сайта
Для работы Рутокен KeyBox требуется создать сайт в Apache, чтобы он обслуживал запросы и отправлял их на проксируемый адрес (сервис Рутокен KeyBox).
Создайте файл сайта /etc/apache2/sites-available/SERVER_FQDN.conf
sudo touch /etc/apache2/sites-available/SERVER_FQDN.conf
|
Заполните файл рекомендуемым содержимым:
В параметрах SSLCertificateFile и SSLCertificateKeyFile указаны пути к созданным/импортированным в предыдущих шагах файлам сертификата и закрытого ключа, требуется проверить указанные пути и имена файлов.
<VirtualHost *:80>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https:
</VirtualHost>
<VirtualHost *:443>
Protocols h2 http/1.1
SSLCertificateFile /etc/apache2/ssl/SSL.crt
SSLCertificateKeyFile /etc/apache2/ssl/SSL.key
SSLCipherSuite @SECLEVEL=1:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLProtocol -all +TLSv1.2
SSLHonorCipherOrder off
SSLCompression off
SSLSessionTickets on
SSLUseStapling off
SSLProxyEngine on
SetEnv nokeepalive ssl-unclean-shutdown
RequestHeader set X-Forwarded-Proto https
Header always set Strict-Transport-Security "max-age=63072000"
ProxyPreserveHost On
ProxyPass /cm/mc http:
ProxyPassReverse /cm/mc http:
ProxyPass /cm/ss http:
ProxyPassReverse /cm/ss http:
ProxyPass /cm/rss http:
ProxyPassReverse /cm/rss http:
ProxyPass /cm/api http:
ProxyPassReverse /cm/api http:
ProxyPass /cm/credprovapi http:
ProxyPassReverse /cm/credprovapi http:
ProxyPass /cm/oidc http:
ProxyPassReverse /cm/oidc http:
ProxyPass /cm/wizard http:
ProxyPassReverse /cm/wizard http:
</VirtualHost>
<VirtualHost *:3003>
protocols h2 http/1.1
SSLCertificateFile /etc/apache2/ssl/SSL.crt
SSLCertificateKeyFile /etc/apache2/ssl/SSL.key
SSLCipherSuite @SECLEVEL=1:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLProtocol -all +TLSv1.2
SSLHonorCipherOrder off
SSLCompression off
SSLSessionTickets on
SSLUseStapling off
SSLProxyEngine on
RequestHeader set X-Forwarded-Proto https
Header always set Strict-Transport-Security "max-age=63072000"
ProxyPass /agentregistrationapi http:
ProxyPassReverse /agentregistrationapi http:
<Location "/agentserviceapi">
SSLVerifyClient optional_no_ca
SSLOptions +ExportCertData
RequestHeader unset x-ssl-client-cert
RequestHeader set x-ssl-client-cert "expr=%{escape:%{SSL_CLIENT_CERT}}"
#RequestHeader set x-ssl-client-cert "expr=%{escape:%{SSL_CLIENT_S_DN}}"
ProxyPass http:
ProxyPassReverse http:
</Location>
</VirtualHost>
|
Перечитайте файл конфигурации и включите файл сайта:
sudo a2ensite SERVER_FQDN
sudo apachectl configtest
sudo systemctl restart apache2
|