码迷,mamicode.com
首页 > Web开发 > 详细

apache https反向代理设置方案

时间:2015-08-20 18:37:08      阅读:229      评论:0      收藏:0      [点我收藏+]

标签:

通过设置一台apache服务器完成对 
  https://10.6.177.66内容的访问,后来经过学习才了解,我们其实就是需要在自己的apache服务器中,创建一个https://10.6.177.66的反向代理。首先介绍一下何为反向代理:
  一.反向代理的概念
   反向代理也就是通常所说的WEB服务器加速,它是一种通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB缓冲服务器(即:WEB反向代理服务器)来降低实际的WEB服务器的负载。
   Web服务器加速(反向代理)是针对Web服务器提供加速功能的。它作为代理Cache,但并不针对浏览器用户,而针对一台或多台特定Web服务器(这也是反向代理名称的由来)。实施反向代理(如上图所示),只要将Reverse Proxy Cache设备放置在一台或多台Web服务器前端即可。当互联网用户访问某个WEB服务器时,通过DNS服务器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Reverse Proxy Server设备充当Web服务器,浏览器可以与它连接,无需再直接与Web服务器相连。因此,大量Web服务工作量被卸载到反向代理服务上。不但能够防止外部网主机直接和web服务器直接通信带来的安全隐患,而且能够很大程度上减轻web服务器的负担,提高访问速度。
  二.win+apache实现ssl
   首先,到http://hunter.campbus.com/去下载和自己的apache版本相同的的Apache_xxx-xxxOpenssl_xxx-Win32.zip。
   我用的是Apache_2.0.59,
   安装程序地址: http://apache.justdn.org/httpd/binaries/win32/apache_2.0.59-win32-x86-no_ssl.msi
   Apache_2.0.59-Openssl_0.9.8c-Win32.zip地址:
   http://209.61.202.80/apache/Apache_2.0.59-Openssl_0.9.8c-Win32.zip)。
   解压缩后找到这5个文件mod_ssl.so(modules目录),ssl.conf,ssl.default.conf(conf目录, 其中default.conf作为备份),libeay32.dll, ssleay32.dll(这2个都在bin目录)。把它们全都复制到你自己的apahce下的对应目录 。 
  ############################################################################### 
   接下来,更改设置文件 
   对于httpd.conf和ssl.conf,如果你的服务器没有域名,那么servername就填ip好了。 
  比如:ServerName 172.18.42.123:80(httpd.conf) 
  ServerName 172.18.42.123:443(ssl.conf) 
   
   打开httpd.conf: 
   找到#LoadModule ssl_module modules/mod_ssl.so,去掉前面的‘#‘,这样就在启动时加载了ssl模块。 
  
   打开ssl.conf: 
  找到#;和#;,把前面的’#‘号都去掉,否则启动apache时还要加参数,麻烦。 
   如下设置: 
   SSLMutex default
   SSLCertificateFile conf/server.crt(服务器证书的位置) 
   SSLCertificateKeyFile conf/server.key (服务器私钥的位置) 
   SSLCACertificateFile conf/ca.crt (CA根证书的位置,进行客户端验证时需要)
   上面的文件被放到了conf目录下。
   DocumentRoot "xxxxx" (指向要ssl加密认证的文档目录,比如"f:/http") 
   SSLVerifyClient require (去掉前面的‘#’号,进行客户端验证时需要) 
   SSLVerifyDepth 1 (去掉前面的‘#’号,把10改为1,进行客户端验证时需要) 
  
  ############################################################################## 
   现在,就要制作证书了 
   去openvpn.net下载并安装openvpn。 
   http://openvpn.net/release/openvpn-2.0.9-install.exe
   这是一个虚拟个人网络制作工具,他能完美的在win(linux,BSD也行)下制作根、服务器、客户端证书。 
   安装完毕后,开始-程序-附件-命令提示符,进到openvpn的easy-rsa目录,比如: 
   c:\program files\openvpn\easy-rsa>
   输入: init-config 回车 
   会产生几个文件,切换出来,打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母), KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织), KEY_EMAIL(电子邮箱)这几个参数,免的后面制证时 
  
   反复输入麻烦。保存退出,继续使用命令提示符。 
   依次输入以下两个命令,当然是分别回车喽: 
   vars 
   clean-all (这两个是准备工作) 
  
  ####################################################################################
   1. 建立CA根证书 
   输入build-ca 回车(这个就是建立CA根证书啦) 
   然后显示: 
   ai:/usr/share/openvpn/easy-rsa # ./build-ca 
   Generating a 1024 bit RSA private key 
   ............++++++ 
   ...........++++++ 
   writing new private key to ‘ca.key‘ 
   ----- 
   You are about to be asked to enter information that will be incorporated into your certificate request. 
   What you are about to enter is what is called a Distinguished Name or a DN. 
   There are quite a few fields but you can leave some blan k 
   For some fields there will be a default value, 
   If you enter ‘.‘, the field will be left blank. 
  ----- 
   Country Name (2 letter code) [KG]: 国家名2位字母,默认的参数就是我们刚才修改过的。 
   State or Province Name (full name) [NA]: 省、州名2位字母 
   Locality Name (eg, city) [BISHKEK]: 城市名 
   Organization Name (eg, company) [OpenVPN-TEST]: 组织名 
   Organizational Unit Name (eg, section) []: 组织里的单位名 
   Common Name (eg, your name or your server‘s hostname) []:这个是关键,应该输入颁发根证书单位的域名 
  ,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。 
   Email Address [me@myhost.mydomain]: 电子邮箱 
  
   好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key 
  
  
  ####################################################################### 
   2. 制作服务器证书: 
   在命令提示符下,输入 
   build-key-server server 回车 
   你会看到和上面很相似的东西,但要注意
   这里的Common Name (eg, your name or your server‘s hostname) []: 这个才是真正的关键。这里应该输入服务器的域名比如www.xxx.com。 
  如果没有域名,就应该填ip,与httpd.conf和ssl.conf里的设置对应, 
   ServerName 172.18.42.123:80(httpd.conf) 
   ServerName 172.18.42.123:443(ssl.conf) 
   也就是说填:172.18.42.123
  
   接下来看到 a challenge password []:填不填随便 
   an optional company name []: 填不填随便
  
   sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。 
   1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。 
  
   好了,建好了在keys目录下的server.crt(证书)和server.key(私钥) ####################################################################### 
   3. 制作客户端证书: 
   在命令提示符下,输入 
   build-key client1 回车 
   又是一通国家省市组织等等,comman name也是随便填的。 
   然后 :
   a challenge password []:填不填随便
   an optional company name []: 填不填随便
  
   sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。 
   1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。 
  
   好了,建好了在keys目录下的client1.crt(客户端证书)和client1.key(私钥) 
  
   等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!! 
   所以,还是在命令提示符下,输入 
   openssl 回车 
   看到openssl>; 
   再输入 :
   pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx 回车, 
   看到Enter export password:会要求你建立客户端证书的输出密码
   verifying-Enter export password再确认一遍,好了! 
  ######################################################################## 把keys目录下的ca.crt和server.crt,server.key都复制到apache的conf目录下,(ssl.conf需要) ca.key自己保留吧,找个合适的地方储存起来. 
  
  
  ######################################################################### 
   客户端安装证书 
   打开internet explorer(IE),工具-internet选项-内容-证书,点选‘个人‘ 再点击导入,把客户端证书client1.pfx导入到个人组里(别忘了扩展名是pfx)。这里还要输入刚才建立的输出密码才能导入呢。 
   接着,点选‘受信任的根证书颁发机构‘,点击导入,把CA根证书ca.crt导入到受信任的根证书颁发机构里。 
  #########################################################################   
    好啦,重新启动apache,打开IE, 
    在地址栏里输入https://172.18.42.123或者域名,弹出个窗口要选择个人的数字证书。 
   点选,然后确定。 
   如果服务器证书的common name填写正确的话,你就可以直接进入网站了,看到右下角的小锁头(可靠的SSL128位)。 
   如果服务器证书的common name填写不正确,就会弹出个‘安全警报’框,告诉你3条: 
   1.安全证书由信任的站点颁发 
   (如果说是由不信任的站点颁发,那就是你的ca根证书ca.crt没有导入到ie的受信任的根证书颁发机构里) 
  
   2.安全证书的日期有效 
   (这个日期缺省是10年,可以在openvpn的easy-rsa目录下的openssl.cnf里调整修改,然后重新制作一整套证书(openssl.cnf看起来像拨号网络的快捷方式,要用记事本,写字板打开修改)) 
   
   3.“安全证书上的名称无效,或者与站点名称不匹配” 
  这就是服务器证书的common name填写不正确所致,不过这也没关系,有人好像愿意这样。我是不想看到这个警告框,烦人。 
  
   即使有安全警报,你仍能进入网站,看到右下角的小锁头(可靠的SSL128位) 
  
  
  ################################# 
   最后,成功啦!用吧。 
  三.设置反向代理
   修改conf\httpd.conf文件
   先启动两个模块
   LoadModule proxy_module modules/mod_proxy.so
   LoadModule proxy_http_module modules/mod_proxy_http.so
   然后在文件最后加上
   SSLProxyEngine on 
   ProxyRequests Off
   ProxyPass / https://10.6.177.66
   ProxyPassReverse / https://10.6.177.66 
   
   ok了,重新启动apache,输入https://172.18.42.123 ,什么效果,自己试试就知道了!

 

apache做http和https反向代理

首先是库之类的环境配置,

如果是编译的,./configure附加--enable-proxy参数,把代理模块编译进来。

然后/usr/sbin/httpd -l,显示

 

Loaded Modules:
core.c
mod_access.c
mod_auth.c
mod_include.c
mod_log_config.c
mod_env.c
mod_setenvif.c
mod_proxy.c
proxy_connect.c
proxy_ftp.c
proxy_http.c
prefork.c
http_core.c
.......
带有proxy前缀的模块即表示已经启用代理。
如果是安装好的,就在配置文件http.conf里启用相应的模块

 

LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_http_module modules/mod_proxy_http.so

可以通过/usr/sbin/httpd -D DUMP_MODULES,显示

Loaded Modules:

……

proxy_module (shared)
proxy_http_module (shared)
proxy_connect_module (shared)

就可以了。

 

现在可以开始配置虚拟主机——

如:

 

<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
ServerName www.b.org
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://127.0.0.1:9000/
ProxyPassReverse / http://127.0.0.1:9000/
</VirtualHost>


 

 

将www.b.org这个网址指向传递到htttp://127.0.0.1:9000这个地址

这样对www.b.org的访问,返回的数据将是来自http://127.0.0.1:9000

 

配置https访问,即ssl加密访问:

首先要开启apache的ssl访问能力,跟随http://blog.csdn.net/ownfire/article/details/7686746所写配置即可。

NameVirtualHost *:443    或者    NameVirtualHost www.abc.net:443

<VirtualHost www.abc.net:443>
ServerName www.abc.net
SSLEngine on
SSLProxyEngine on
SSLCertificateFile /etc/httpd/conf/server.crt
SSLCertificateKeyFile /etc/httpd/conf/server.key

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

ProxyPass /test https://127.0.0.1/
ProxyPassReverse /test https://127.0.0.1/
</VirtualHost>

将对https://www.abc.net/test这个网址的访问指向https://127.0.0.1/,SSLCertificateFile和SSLCertificateKeyFile分别是配置ssl时生成使用的密钥文件。

apache下开启ssl访问,即https

 

openssl Windows下已编译好的命令行程序:

http://downloads.sourceforge.net/gnuwin32/openssl-0.9.8h-1-bin.zip

 

lamp开启ssl

首先需要安装openssl和apache的ssl模块,执行:

yum install openssl mod_ssl -y

即可,接下来的配置方法和以下内容类似

 

wamp开启SSL


1.#修改httpd.conf文件
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
#去掉上面两行前的"#"
2.#修改conf/extra/httpd-ssl.conf
SSLCertificateFile "D:/wamp/Apache2/bin/server.crt"
SSLCertificateKeyFile "D:/wamp/Apache2/bin/server.key"
3.#修改为你生成证书的文件位置
DocumentRoot "E:/www"  #修改 DocumentRoot的值与httpd.conf文件的DocumentRoot保持一致.
4.#解决APACHE无法启动
68:SSLMutex  "file:D:/ProgramFiles2003/wamp/wamp/Apache2/logs/ssl_mutex"
#修改为68: SSLMutex  default    
5.#把httpd-ssl.conf文件中所有的apache的路径替换为你的APACHE的路径

#到此配置文件修改完毕

二,证书生成的方法
#命令行中进入apache/bin目录下执行如下:

openssl req -config ../conf/openssl.cnf -new -out server.csr -keyout server.pem

其中openssl.cnf为apache自带的openssl配置文件,引用到该文件的完整路径

输入两次密码,随便什么密码,然后一直回车,跳过下面的输入

#签发证书

openssl rsa -in server.pem -out server.key

输入刚才制定的密码

#生成密钥文件
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365
#生成证书文件

把  server.key,server.crt copy到conf文件夹下


重新启动APACHE

OK,恭喜你可以正常使用HTTPS来访问你的根目录了。

 

当然我们还需要ssl的虚拟主机

那就要配置虚拟主机文件,在文件中专门写一个监听443端口的虚拟主机,例如:

<VirtualHost woosau:443>
        DocumentRoot /home/ownfire/www/woosau
        ServerName woosau
        SSLEngine on
        SSLCertificateFile /etc/httpd/conf/server.crt
        SSLCertificateKeyFile /etc/httpd/conf/server.key
</VirtualHost>

因为规定主机名是woosau,所以还要写一个虚拟主机名规则

NameVirtualHost woosau:443

好了,完毕,这样就可以访问https://woosau

 

apache mod_rewrite uri重写 http转https

一:目的

本文旨在提供如何用Apache重写规则来解决一些常见的URL重写方法的问题,通过常见的 
实例给用户一些使用重写规则的基本方法和线索。

二:为什么需要用重写规则? 
一个网站,如果是长期需要放在internet上提供服务,必定会有不断地更新和维护,如临 
时转移到其它服务器进行维护,重新组织目录结构,变换URL甚至改变到新的域名等等, 
而为了让客户不会因此受到任何影响,最好的方法就是使用Apache Rewrite Rule(重写 
规则)。

三: 重写规则的作用范围 
1) 可以使用在Apache主配置文件httpd.conf中 
2) 可以使用在httpd.conf里定义的虚拟主机配置中 
3) 可以使用在基本目录的跨越配置文件.htaccess中

四:重写规则的应用条件 
只有当用户的WEB请求最终被导向到某台WEB服务器的Apache后台,则这台WEB服务器接受 
进来的请求,根据配置文件该请求是主配置还是虚拟主机,再根据用户在浏览器中请求的 
URI来配对重写规则并且根据实际的请求路径配对.htaccess中的重写规则。最后把请求 
的内容传回给用户,该响应可能有两种:

1) 对浏览器请求内容的外部重定向(Redirect)到另一个URL。 
让浏览器再次以新的URI发出请求(R=301或者R=302,临时的或是永久的重定向) 
如:一个网站有正规的URL和别名URL,对别名URL进行重定向到正规URL,或者网站改换 
成了新的域名 
则把旧的域名重定向到新的域名(Redirect)

2) 也可能是由Apache内部子请求代理产生新的内容送回给客户[P,L] 
这是Apache内部根据重写后的URI内部通过代理模块请求内容并送回内容给客户,而客户 
端浏览器并 
不知道,浏览器中的URI不会被重写。但实际内容被Apache根据重写规则后的URI得到。 
如:在公司防火墙上运行的Apache启动这种代理重写规则,代理对内部网段上的WEB服务 
器的请求。

五:重写规则怎样工作? 
我们假定在编译Apache时已经把mod_rewrite编译成模块,确信你的httpd.conf中有 
LoadModule rewrite_module libexec/mod_rewrite.so 
并且在Addmodule中有 
Addmodule mod_rewrite.c 
则可以使用重写规则。 
当外部请求来到Apache,Apache调用重写规则中的定义来重写由用户浏览器指定请求的 
URI,最后被重写的URI如果是重定向,则送由浏览器作再一次请求;如果是代理则把重写 
后的URI交给代理模块请求最终的内容(Content),最后把内容送回给浏览器。

六: 何时使用.htaccess中的重写规则定义? 
假如你对你的的网站内容所在的服务器没有管理员权限,或者你的网站放在ISP的服务器 
上托管等等条件下,你无法改写主配置文件,然而你可以对你的WEB站点内容所在的目录 
有写权限,则你可以设置自己的.htaccess 
文件达到同样的目的。但你需要确定主配置文件中对你的网站所在的目录定义了下面的内 
容:

Options Indexes FollowSymLinks 
AllowOverride all

否则你的.htaccess不会工作。

七: 应用举例 
假定Apache被编译安装在主机192.168.1.56的/usr/local/apache/ 目录下面,我们编 
译进了重写和代理模块。

1) 隐藏Apache下的某个目录,使得对该目录的任何请求都重定向到另一个文件。

a> httpd.conf的实现方法

我们放下面的部分到/usr/local/apache/conf/httpd.conf


options Indexes followsymlinks 
allowoverride all 
rewriteengine on 
rewritebase / 
rewriterule ^(.*)$ index.html.en [R=301]


注:rewriteengine on 为重写引擎开关,如果设为off,则任何重写规则定义将不被应 
用,该开关的另一好处就是如果为了临时拿掉重写规则,则改为off再重启动Apache即 
可,不必将下面一条条的重写规则注释掉。 
rewritebase / 的作用是如果在下面的rewriterule定义中被重写后的部分(此处为文件 
名index.html.en)前面没有/,则是相对目录,相对于这个rewritebase后面的定义也就 
是/usr/local/apache/htdocs/index.html.en,否则,如果此处没有rewritebase /这 
一项,则被重写成 
http://192.168.1.56/usr/local/apache/htdocs/manual/index.html.en ,显然是 
不正确的。

不过这里我们也可以不用rewritebase / , 而改为 
rewriteengine on 
rewriterule ^(.*)$ /index.html.en [R=301] 
或者 
rewriteengine on 
rewriterule ^(.*)$ http://192.168.1.56/index.html.en [R=301]

b> .htaccess的实现方法

我们先放下面的部分到httpd.conf


options Indexes followsymlinks 
allowoverride all


然后放下面的部分到/usr/local/apache/htdocs/manual/.htaccess中 
rewriteengine on 
rewritebase / 
rewriterule ^(.*)$ index.html.en [R=301]

注:对文件.htaccess所作的任何改动不需要重启动Apache.

问:要是把这个manual目录重定向到用户jephe的自己的主目录呢? 
用下面的.htaccess方案。 
rewriteengine on 
rewritebase /~jephe/ 
rewriterule ^(.*)$ $1 [R=301]

则对manual目录下任何文件的请求被重定向到~jephe目录下相同文件的请求。

2) 转换www.username.domain.com的对于username的主页请求为 
www.domain.com/username

对于HTTP/1.1的请求包括一个Host: HTTP头,我们能用下面的规则集重写 
http://www.username.domain.com/anypath 到 /home/username/anypath

Rewriteengine on 
rewritecond %{HTTP_HOST} ^www\.[^.]+\.host\.com$ 
rewriterule ^(.+) %{HTTP_HOST}$1 [C] 
rewriterule ^www\.([^.]+)\.host\.com(.*) /home/$1$2

注: 
rewritecond 条件重写规则,当满足后面定义的条件后才会应用下面的重写规则, 
rewritecond有各种变量 
,请查阅相关文档。

3) 防火墙上的重写规则代理内部网段上服务器的请求。

NameVirtualhost 1.2.3.4


servername www.domain.com 
rewriteengine on 
proxyrequest on 
rewriterule ^/(.*)$ http://192.168.1.3/$1 [P,L]


注:当外部浏览器请求www.domain.com时被解析到IP地址1.2.3.4 ,Apache 交出 
mod_rewrite处理转换成 
http://192.168.1.3/$1后再交由代理模块mod_proxy得到内容后传送回用户的浏览器。


4) 基本预先设定的转换MAP表进行重写 rewritemap

转换www.domain.com/{countrycode}/anypath 到Map表中规定的URI,上面是虚拟主机 
中的定义

rewritelog /usr/local/apache/logs/rewrite.log 
rewriteloglevel 9

rewriteengine on 
proxyrequest on 
rewritemap sitemap txt:/usr/local/apache/conf/rewrite.map 
rewriterule ^/([^/]+)+/(.*)$ http://%{REMOTE_HOST}::$1 [C] 
rewriterule (.*)::([a-z]+)$ ${sitemap:$2|http://h.i.j.k/} [R=301,L]

文件/usr/local/apache/conf/rewrite.map的内容如下:

sg http://a.b.c.d/ 
sh http://e.f.g.h/

注: 当用户请求http://www.domain.com/sg/anypath时被重写为 
http://a.b.c.d/anypath . 
当需要调试时请用rewritelog and rewriteloglevel 9联合,9为最大即得到最多的调试 
信息 
最小为1,最小的调试信息,默认为0,没有调试信息。 
sitemap的语法是${sitemap: LookupKey | Defaultvalue} ,有些书上把$写成了%是错 
误的。

apache https反向代理设置方案

标签:

原文地址:http://www.cnblogs.com/lindafu/p/4745682.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!