Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

Se puede descargar  el siguiente zip (Apache24.zip) que contienen un apache ya modificado para usar ssl, se descomprime el archivo en C:\,  modificar  en el archivo worker.properties  agregando la ip del servidor,  hacer los pasos 9, 10, 11, 12 y 13 ( agregar la ip del servidor en el archivo worker.properties y modificar el ServerName con el que corresponda en el archivo httpd-ssl.conf , lo demás puntos de este paso ya están realizados ), sino a continuación se describe como realizar la configuración desde un apache  por default.  
  1. Descomprimir el archivo httpd-2.4.29-win64-VC14.zip y   y copiar en C:\ la carpeta Apache24.
  2. Descomprimir el archivo mod mod_jk-1.2.42-win64-VCVC14.zip
  3. Copiar de la carpeta el archivo mod_jk.so a la carpeta  C:\Apache24\modules\
  4. Editar el archivo httpd.conf C:\Apache24\conf\

  5. Añadir las siguientes lineas al archivo donde se cargan los modulos:


    LoadModule jk_module modules/mod_jk.soEn el mismo archivo habilitar el uso de virtual hosts

    # Virtual hosts

    Include conf/extra/httpd-vhosts.conf (Adjunto archivo)En caso de usar https  habilitar el uso del ssl.conf

    Include conf/extra/httpd-ssl.conf

    descomentar las lineas:

    LoadModule ssl_module modules/mod_ssl.so

    LoadModule socache_shmcb_module modules/mod_socache_shmcb.so

     

  6. Copiar el archivo 

    httpd-vhosts.conf

    workers.properties a C:\Apache24\conf\

    extra\

    .

  7. Copiar el archivo 

    workers.properties a

    mod_jk.conf a C:\Apache24\

    conf\Copiar el archivo mod_jk.conf a

    alias\ , si no existe  la carpeta alias, crearla.

  8. Agregar  en el archivo httpd.con la linea "Include C:\Apache24\alias\mod_jk.conf .
  9. Instalar vc_redist.x64.exe, son las librerias de c++ que apache necesita.
  10. Editar el archivo httpd-ssl.conf en C:\Apache24\conf\extra\  y editar las siguientes lineas colocando el nombre del host (ejemplo  www.ideasoft.biz ), la ruta del certificado y de la key del mismo: 
    ServerName www.ideasoft.biz  

    SSLCertificateFile "c:/Apache24/conf/server.crt"
    SSLCertificateKeyFile "c:/Apache24/conf/server.key"

    Si se tiene el certificado de la CA hay que descomentar y editar con la ruta del certificado la siguiente linea:

        #SSLCACertificateFile "c:/Apache24/conf/ssl.crt/ca-bundle.crt" .

 

    11. Agregar el servicio de apache, en una consola  ejecutándose como administrador, ir a la ruta c:\Apache24\bin y ejecutar  httpd -k install

    12.  Modificar la configuración de O3 de acuerdo al siguiente wiki: Cómo configurar

...

en O3BI 7 acceso por https (SSL).

 

   13. Configuración de mod_jk en Apache con https

Agregar los workers en el archivo "conf/workers.properties", definirlo en worker.list y luego agregar el puerto (se obtiene de /jboss/standalone/configuration/o3bi.xml(<socket-binding name="ajp" port="8009"/>) se le suma o resta el offset) y el servidor.

 

worker.list=worker1,worker2
 #worker o3bi
worker.worker1.port=8009 #(por defecto es el 8009)
worker.worker1.host=Nombre de servidor o ip
worker.worker1.type=ajp13
worker.worker1.lbfactor=1
  #worker para eportal
worker.worker2.port=8309 #(por defecto es el 8309)
worker.worker2.host=Nombre de servidor o ip
worker.worker2.type=ajp13
worker.worker2.lbfactor=1

 

(Luego de agregar los workers en el archivo "conf/workers.properties" agregar el host virtual en "conf\extra\httpd-ssl.conf  )

 

    ServerName www.ideasoft.biz #cambiar por el nombre dns del virtualhost que se esta configurando.
   
    
     # o3web
  JkMount /o3web worker1
  JkMount /o3web/* worker1
  JkMount /exist worker1
  JkMount /exist/* worker1
  JkMount /o3report worker1
  JkMount /o3report/* worker1
  JkMount /cas/* worker1
  JkMount /o3-rest worker1
  JkMount /o3-rest/* worker1
  JkMount /rbac-rest worker1
  JkMount /rbac-rest/* worker1
  JkMount /o3-parts-blaze-web worker1
  JkMount /o3-parts-blaze-web/* worker1
  JKMount /o3bi-admin worker1
  JKMount /o3bi-admin/* worker1
     
     
    # eportal
    JkMount /eportal worker2
    JkMount /eportal/* worker2
    JkMount /eportalthemes worker2
    JkMount /eportalthemes/* worker2
    JkMount /o3-liferay-theme worker2
    JkMount /o3-liferay-theme/* worker2
    JkMount /geoserver worker2
    JkMount /geoserver/* worker2
    JkMount /o3-parts-web worker2
    JkMount /o3-parts-web/* worker2
    JkMount /o3portal worker2
    JkMount /o3portal/* worker2
    JKMount /notifications-portlet worker2
    JKMount /notifications-portlet/* worker2
    JKMount /welcome-theme worker2
    JKMount /welcome-theme/* worker2
    JKMount /j2ep worker2
    JKMount /j2ep/* worker2
    JKMount /o3bpa-dashlets worker2
    JKMount /o3bpa-dashlets/* worker2
     
  
      
    

 

Configuración de seguridad

 

Fuga de información interna.

Versiones de software en uso

Revisar documentación pasada sobre configuración de apache en documento anterior.

En excepciones y encabezados se ven las versiones de software en uso.

En el archivo httpd.conf,  en  las lineas que dicen  ErrorDocument  con el número de error, hay que  crear archivos html personalizados para cada error y colocar la ruta donde se encuentra cada uno,  o modificar los archivos  top.html y bottom.html  que se encuentran dentro de la carpeta include,  en la carpeta error en la raíz del la instalación, quitando las referencias a 'SERVER_NAME" y "SERVER_SOFTWARE". 
Algoritmos de cifrado inseguro (SSLv2, SSLv3, RC4)Corresponde a configuración del apache

Buscar la linea SSLProtocol  y agregar  all -SSLv2 -SSLv3 -RC4,  quedando  así

 "SSLProtocol all -SSLv2 -SSLv3 -RC4" , el all es para aceptar todos los algoritmos y le vamos restando los que no queremos.