[Apache 2.0] SSL-Proxy

[plumps22]

[Anmerkung: Dieser Beitrag wurde von diesem Thread abgetrennt]

Ich habe ein eigenes Zertifikat auf die Domain "ssl-domain.tld"
Darauf beruht nachfolgende Anteiltung zum https-proxy.


1. Ã?nderung
In der Datei /etc/sysconfig/apache2 in der Zeile 133 beginnend mit APACHE_MODULES="access actions alias auth ....." wie folgt abändern:

APACHE_MODULES="access actions alias auth ..... proxy proxy_http"
(Die Punkte natütlich nicht mit einbauen :-))



2. Ã?nderung

Ich habe meine confixx_mhost.conf wie folgt angepasst.

Code: Select all

## CONFIXX
<Directory "/srv/www/confixx/html">
  AllowOverride all
  <IfModule mod_access.c>
    Allow from all
  </IfModule>

  <IfModule mod_rewrite.c>
    RewriteEngine On
    Options +FollowSymlinks
    RewriteRule ^reseller/skins/(.*)$ reseller/skins/$1 [L]
    RewriteRule ^reseller/[^/]+/(.*)$ reseller/$1 [L]
    RewriteRule ^user/skins/(.*)$ user/skins/$1 [L]
    RewriteRule ^user/[^/]+/(.*)$ user/$1 [L]
    RewriteRule ^ftplogin/[^/]+/(.*)$ ftplogin/$1 [L]
    RewriteRule ^poplogin/[^/]+/(.*)$ poplogin/$1 [L]
  </IfModule>

</Directory>

 NameVirtualHost xxx.xxx.xxx.xxx:80
<VirtualHost xxx.xxx.xxx.xxx:80>
        ServerName ssl-domain.tld
        ServerAlias www.ssl-domain.tld
        DocumentRoot /srv/www/confixx/html
        Options FollowSymLinks
                php_admin_value safe_mode Off
                php_flag magic_quotes_gpc Off
                php_admin_flag file_uploads On
        php_admin_value track_vars On
        php_admin_value upload_tmp_dir /srv/www/confixx/tmp
        php_admin_value include_path ".:/srv/www/confixx/html/include:/srv/www/confixx/html"
        ScriptAlias /cgi-bin/ /srv/www/confixx/html/cgi-bin/
        CustomLog /var/log/apache2/confixx.pxxxxxxxx.pureserver.info_access.log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
        ErrorLog /var/log/apache2/confixx.pxxxxxxxx.pureserver.info_error.log
</VirtualHost>


NameVirtualHost xxx.xxx.xxx.xxx:443
<VirtualHost xxx.xxx.xxx.xxx:443>
        ServerName ssl-domain.tld
        ServerAlias www.ssl-domain.tld
        DocumentRoot /srv/www/confixx/html
        Options FollowSymLinks
                php_admin_value safe_mode Off
                php_flag magic_quotes_gpc Off
                php_admin_flag file_uploads On
        php_admin_value track_vars On
        php_admin_value upload_tmp_dir /srv/www/confixx/tmp
        php_admin_value include_path ".:/srv/www/confixx/html/include:/srv/www/confixx/html"
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile /etc/apache2/ssl-zert/sslcertifikat.crt
        SSLCertificateKeyFile /etc/apache2/ssl-priv/newkey.pem
        SSLCACertificateFile  /etc/apache2/ssl-zert/ca3-bundle
        SetEnvIf User-Agent ".*MSIE.*" 
                nokeepalive ssl-unclean-shutdown 
                downgrade-1.0 force-response-1.0
        <Files ~ ".(cgi|shtml|phtml|php3?)$">
                SSLOptions +StdEnvVars
        </Files>
        <Directory "/srv/www/confixx/html/cgi-bin">
                SSLOptions +StdEnvVars
        </Directory>

        ScriptAlias /cgi-bin/ /srv/www/confixx/html/cgi-bin/
        CustomLog /var/log/apache2/confixx.pxxxxxxxx.pureserver.info_access.log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
        ErrorLog /var/log/apache2/confixx.pxxxxxxxx.pureserver.info_error.log

Include /etc/apache2/ssldomains

</VirtualHost>


Include /etc/apache2/confixx_vhost.conf
# ^- Dieser Eintrag sollte unbedingt am Ende der Datei bleiben
## /CONFIXX

Wobei natürlich die Pfade für das SSL-Zertifikat, die SSL-Domain.tld und die IP Adresse noch angepasst werden müssen.

3. Ã?nderung

Anlegen der Datei ssldomains im Verzeichnis /etc/apache2/
Die Datei sollte folgenden Inhalt haben:

Code: Select all

RedirectPermanent /kundendomain1.tld  https://ssl-domain.tld/kundendomain1.tld/
ProxyPass         /kundendomain1.tld/ http://www.kundendomain1.tld/
ProxyPassReverse  /kundendomain1.tld/ http://www.kundendomain1.tld/

RedirectPermanent /kundendomain2.tld  https://ssl-domain.tld/kundendomain2.tld/
ProxyPass         /kundendomain2.tld/ http://www.kundendomain2.tld/
ProxyPassReverse  /kundendomain2.tld/ http://www.kundendomain2.tld/

RedirectPermanent /kundendomain3.tld  https://ssl-domain.tld/kundendomain3.tld/
ProxyPass         /kundendomain3.tld/ http://www.kundendomain3.tld/
ProxyPassReverse  /kundendomain3.tld/ http://www.kundendomain3.tld/

Hier müssen alle Kundendomains angelegt werden, die über https erreicht werden sollen.

3. Ã?nderung

Apache neu starten mit rcapache2 restart

TEST:
Der Kunde kann dann seine Domain über https://ssl-domain.tld/kundendomain1.tld aufrufen

Confixx kann problemlos über die SSL-Domain aufgerufen werden:
https://ssl-domain.tld
https://ssl-domain.tld/reseller
https://ssl-domain.tld/admin

Confixx beraucht NICHT in der Datei ssldomains konfiguriert werden.

So, gemeinsam kommt man doch ans Ziel !!
Ich hoffe es hilft und es ist eindeutig erklärt.

[mitmacher]

Hi Plumps,

täusche ich mich, oder kommen mir die Ausführungen bekannt vor? *g*
Natürlich no prob, aber eine Sache haut hier nicht hin, denke ich!

Du nutzt also, wie ich auch bereits erörterte
http://www.rootforum.org/forum/viewtopic.php?t=25560
den originalen Confixx-SSL-Vhost auch gleich als SSL-Proxy mit.

Gute Idee, aber das bewirkt, das alle Confixx-spezifischen Einstellungen dann auch für ALLE SSL-umleitungen gelten, z.b.

Code: Select all

Options FollowSymLinks 
php_admin_value safe_mode Off
etc.

Ich bezweifle arg, das dies gewollt wird, und sollte wohl nochmal überdacht werden. Ich persönlich würde jedenfalls abraten.

Die Idee, die Proxy-Directiven in eine Extra-Datei zu packen ist aber ok :-)

--
Grüße vom mitMacher :-)
/dev/null/bock/auf/arbeit/

[plumps22]

klaro komt die der Beitrag bekannt vor, ich habe die Lösung ja auch von Dir mit übernommen. In deinem Beitrag habe ich da auch so vermerkt, das es eine Verbesserung sein sollte, aber dier wurde ja ein neuer Beitrag aufgemacht.

Stimmt natürlich was du da sagt, das ist mir noch gar nicht aufgefallen. Dann werde ich mal etwas umkonfigurieren. Aber´die Lösung war so guut das auch Confixx problemlos funzt :?

[mitmacher]

1. sollte auch keine kritik sein... ;-)

2. tja, leider, ich habe mich auch eine Zeit lang an der variante aufgehalten, weil ich sie so schön einfach fand, aber vor allem

Code: Select all

ScriptAlias /cgi-bin/ /srv/www/confixx/html/cgi-bin/

machte mich dann doch stutzig.
Warum bitte schön, dachte ich mir, sollen denn alle SSL-Domains gleich zugriff auf Confixx-CGIs haben? Sind zwar keine vorhanden, aber geht ja schliesslich ums Prinzip.
Wahrscheinlich ist aber die safemode_off-Geschichte noch am heikelsten... :-(

Tja, bleibt wohl echt nur, entweder Confixx arg umzuproggen, damit alles relativ verlinkt läuft, oder halt den Port-Trick (4443 o.ä.) zu nehmen.
Doofe Sache das, aber was hilft's? :-(

[plumps22]

Ja, Confixx macht eben doch ein paar Probleme.
Ich habe den safe_mode jetzt mal auf on geschalten, Confixx läuft bisher problemlos, habe einige Sachen im Resellerbereich getestet, Gibt es einen Grund warum der safe_mode standarsmäßig auf off steht ??

[mitmacher]

Seit kurzem gibt es zwar ein Update Confixx 3.0.1 aber der Support rät noch dringend davon ab (für 1und1), da so einige Pfade nicht stimmen dürften.
Aus dem ChangeLog geht aber hervor, dass es in der Version anders herum läuft, wenn ich es richtig verstanden habe. Also global safe-mod on und notfalls per Vhost off. MAcht wohl mehr Sinn, finde ich auch, aber beides läuft ja letzlich aufs selbe hinaus... ;-)

Ich hoffe mal, das 1und1 sich sputet mit einem angepassten Confixx-update Script, wenn ich nicht gleich auf ein neues Imgae hinausläuft. Da wären noch so einige Sachen zu bemängeln, aber teilweise auch bereits manuell behoben oder verbessert (durch mich)... ;-)

[plumps22]

das heißt also, das es mit dem SSL-proxy von dir und meinen änderungen funktionieren dürfte, auch von der Sicherheit wegen. Vorrausgesetzt safe_mode on !???

[mitmacher]

Meiner Meinung nach: NEIN!

denn mindestens

Code: Select all

php_admin_value upload_tmp_dir /srv/www/confixx/tmp

wird dir einen weiteren Strich durch die rechnung machen, wenn es möglich sein soll, per SSL auch Dateien upzuloaden.

Der

Code: Select all

php_admin_value include_path "..."

ist auch oberbedenklich, da dann jeder Zugriff auf die Confixx-Includes hat.

usw...

Es spricht wirklich so einiges dagegen, den Confixx-SSL-Vhost auch gleichzeitig als SSL-Proxy zu verwenden, da bin ich überzeugt!

Man kann bestimmt irgendeinen Kompromiss finden, was aber bestimmt ähnlich lange dauern würde, wie Confixx umzuproggen oder eine andere Lösung zu nehmen...

[skywalker77]

Hi ihr !

Eine vorsichtige Anfrage:
Wie schaut es aus, wenn jemand keine Kosten und Mühen spart und doch 4â?¬ für ne eigene IP, 9,99$ für ne Domain und die 15$ für ein Zert. ausgibt ?
Bestehen diese Probleme auch da ? (dh. confixx und proxy wären auf getrennten IP´s ).

(Suse Linux 8.1 / Confixx 3.0.5)

LG aus Ã?sterreich

[skywalker77]

Edit:
Ich hab mich daran versucht, laut Beschreibung von: http://www.rootforum.org/forum/viewtopi ... t=sslproxy die zweite Variante durchzugehen.
Funktioniert eigenltlich auch hervorragen. Bis ich den Server neustarte. Denn ich hab schon eine zweite IP und SSL darauf eingerichtet. Diese IP (Domain) möchte ich gerne auch für die anderen Domains nutzen.
Jedoch ein Eintrag in die vhost hat natürlich auf Dauer keinen Sinn ;)
Hat jemand einen Tipp, wie ich so ne include-Datei in eine von confixx erstellte Domain <virtualhost> hinein schummeln kann ?

[hemzet]

Hat jemand einen Tipp, wie ich so ne include-Datei in eine von confixx erstellte Domain <virtualhost> hinein schummeln kann?

Hallo,

im confixx-Setup gibts einen Menupunkt 'httpd'. Dort einfach fuer eine deiner vHosts mit eintragen. Confixx schreibt diesen Eintrag dann mit in die confixx_vhost.conf...

Gruss,
Oliver

[skywalker77]

Hi Oliver !

Danke für die Info. Einfach nur :

Code: Select all

Include /etc/apache2/ssl_includes

eintragen ?
(ohne irgendwas ?)

<Edit> Es müsste eigentlich schon bei dem web sein, wo SSL läuft oder ? </Edit>

Ich versucher derzeit gerade den Weg über die mhost und nen kompletten Eintrag um quasi die vhost zu übergehen. Jedoch hat confixx auch dagegen etwas (die neue domain wird automatisch zu confixx umgeleitet obwohl laut mhost auf web0 geht ...)
Also muss ich diese Idee wieder verwerfen ;)

[hemzet]

Danke für die Info. Einfach nur eintragen ?

ja. die zeile wird so wie du sie angibst in den vhost-eintrag der confixx_vhost.conf geschrieben...

Ich versucher derzeit gerade den Weg über die mhost und nen kompletten Eintrag um quasi die vhost zu übergehen

eine alternative ist nicht der weg ueber die confixx_mhost.conf (die nutze ich z.b. nur fuer die beiden (80 und443) gesperrt-eintraege, sondern ueber das von confixx verwendete template. dieses liegt bei mir unter /root/confixx/safe/confixx_vhost.conf.tmp. hier kannst du haendisch eintragungen vornehmen, wenn du es nicht ueber die admin-konsole machen moechtest...

gruss

[skywalker77]

Tja, dann werd ich mal die änderungen in der mhost wieder rausschmeissen und warte mal die neue IP ab... Kann sich nur mehr um Stunden handeln :)

Das web für das neue SSL wird web23 sein. Also geh ich einfach her, schalte SSL für web23 frei (zert. installiere ich natürlich vorher), geh dann als admin rein und leg die Zeile in die httpd für web23. in der include-datei stehen dann die einträge drinn:

RedirectPermanent /domain1.de https://ssldom.de/domain1.de/
ProxyPass /domain1.de/ http://www.domain1.de/
ProxyPassReverse /domain1.de/ http://www.domain1.de/

usw.


Danke für die Hilfe !

[hemzet]

genau :-D