Apache : reverse proxy https

Je suis intervenu récemment chez un client dont le certificat https expirait dans les quinze jours, mais dont le serveur webmail est un Lotus Domino, dans une version qui n'est pas compatible avec des certiifcats encodés en autre chose que SHA1.

Leur prestataire ne pouvant générer que des certiicats en SHA256 leur a proposé 2 options  :

  • passer sur une version plus récente de la messagerie (en moins de 2 semaines, c'est un peu risqué...)
  • mettre en place un reverse proxy en rupture de flux, qui portera le nouveau certificat.

Cet article décrit les actions réalisées pour la mise en place de cette architecture reverse proxy, sur un Linux CentOS / RHEL 7

Le serveur CentOS sera positionné dans la DMZ, isolé par le firewall.

Installation du serveur Apache

L'installation du serveur Apache se fait via les commandes yum. On installera le package httpd (serveur apache), ainsi que les modules mod_ssl (SSL) et mod_proxy (pour gérer le mode Proxy / Reverse proxy) :

yum install httpd httpd-tools mod_ssl mod_proxy

Ceci va donc installer les binaires et créer les répertoires /etc/httpd, et les sous-répertoires :

  • /etc/httpd/conf : contient le fichier de configuration principal
  • /etc/httpd/conf.d : contient les fichiers de configuration secondaires (notamment la définition des VirtualHost)
  • /etc/httpd/conf.modules.d : contient la configuration des modules.

Paramétrage Apache

Paramétrage global

Pour que le serveur httpd veuille bien se lancer, j'ai du ajouter le hostname de la machine dans le fichier /etc/httpd/conf/httpd.conf, au niveau de la directive ServerName :

ServerName lnxvmrev1.domaine.fr

Paramétrage du reverse proxy

Le paramétrage du reverse Proxy sera fait dans un fichier de configuration séparé. Un fichier /etc/httpd/conf.d/reverse-proxy.conf sera donc créé, contenant :

#
# Parametrage du reverse Proxy pour le webmail
#
# On redirige les requêtes en https vers le serveur Notes (IP 10.1.2.3)

ProxyRequests Off

<VirtualHost *:443>
# Production
  ServerName webmail.domaine.fr
  DocumentRoot /var/www/html
  CustomLog /var/log/httpd/ssl_reverse.log combined
  
#   SSL Engine Switch , certificate configuration paths:
#   Enable/Disable SSL for this virtual host.
  SSLEngine on
  SSLCertificateFile    "/etc/ssl/certs/https/webmail.pem"
  SSLCertificateKeyFile "/etc/ssl/certs/https/webmail.key"
  SSLStrictSNIVHostCheck Off
  SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5

# On fait du proxy vers un autre serveur en https
  SSLProxyEngine On
# Disable SSLProxyCheck
  SSLProxyCheckPeerCN Off
  SSLProxyCheckPeerName Off
  SSLProxyVerify none
# On transmet notre certificat au serveur distant (crt + key combiné)
#  SSLProxyMachineCertificateFile "/etc/ssl/certs/https/client.pem"
  ProxyPass / https://10.1.2.3/
  ProxyPassReverse / https://10.1.2.3/
  ProxyPreserveHost On

</VirtualHost>

Quelques explications sur les directives.

Tout d'abord la partie serveur https

  • VirtualHost *:443 : précise que l'on écoute sur le port 443 (https)
  • ServerName : le nom de domaine du serveur (FQDN)
  • CustomLog : le fichier de logs
  • DocumentRoot : c'est juste pour information, car tout le trafic sera redirigé (d'ailleurs on ne met pas de directive Directory)
  • SSLEngineOn, SSLCertificateFile, SSLCertificateKeyFile : paramétrage du SSL, avec le certificat et la clé
  • SSLCipherSuite : on précise les chiffrements autorisés.

Viennent ensuite les directives relatives à la partie Reverse proxy :

  • SSLProxyEngine : activation du mode Proxy en SSL
  • SSLProxyCheckPeerCN et SSLProxyCheckPeerName : permet de ne pas vérifier le CN et le nom du serveur distant
  • SSLProxyVerify : pas de vérification du serveur distant
  • SSLProxyMachineCertificateFile : concaténation de la clé et du certificat de la machine (pas nécessaire si on désactive les vérifications)
  • ProxyPass et ProxyPassReverse : il s'agit du paramétrage "standard" du mode reverse proxy
  • ProxyPreserverHost On : garde le nom DNS du reverse proxy (sinon on récupère l'adresse IP du serveur cible)

On redémarre ensuite avec les commandes systemctl :

systemctl restart httpd

On vérifie que le serveur http s'est ancé :

systemctl status httpd
● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
   Active: active (running) since lun. 2016-11-07 14:31:48 CET; 2min 26s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 14121 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
 Main PID: 14126 (httpd)
   Status: "Total requests: 6; Current requests/sec: 0; Current traffic:   0 B/sec"
   CGroup: /system.slice/httpd.service
           ├─14126 /usr/sbin/httpd -DFOREGROUND
           ├─14127 /usr/sbin/httpd -DFOREGROUND
           ├─14128 /usr/sbin/httpd -DFOREGROUND
           ├─14129 /usr/sbin/httpd -DFOREGROUND
           ├─14130 /usr/sbin/httpd -DFOREGROUND
           ├─14131 /usr/sbin/httpd -DFOREGROUND
           ├─14132 /usr/sbin/httpd -DFOREGROUND
           ├─14133 /usr/sbin/httpd -DFOREGROUND
           └─14134 /usr/sbin/httpd -DFOREGROUND

nov. 07 14:31:48 lnxvmrev1.domaine.fr systemd[1]: Starting The Apache HTTP Server...
nov. 07 14:31:48 lnxvmrev1.domaine.fr systemd[1]: Started The Apache HTTP Server.

En cas de souci, les commandes systemctl status et journalctl -xe permettent de débugguer les erreurs.

J'ai notamment eu un cas où le service ne voulait pas démarrer car le ServerName n'était pas renseigné dans le fichier de configuration global.

Génération du certificat SHA1 pour le serveur Domino

La génération en une seule passe d'une clé privée (sans mot de passe) et d'un certificat avec une validité d'un an, et encypté en SHA1 se fait ia la commande :

openssl req -new -x509 -days 365 -sha1 -nodes -out server.pem -keyout server.key

Création du fichier PEM client pour le SSLProxyMachineCertificateFile

Il faut passer par une opération supplémentaire pour générer un fichier PEM acceptable par le serveur httpd.

En partant des fichiers .key et .pem existants, il faut ajouter une entête RSA :

openssl rsa -in webmail.key -out client.key

Puis on concatène les fichiers clé et certificat :

cp webmail.pem client.pem
cat client.key >> client.pem

 

Catégorie: 

Tag: 

Add new comment