Page Comparison

...

Se puede descargar el siguiente zip (Apache24.zip) que contienen un apache ya modificado para usar ssl, se descomprime el archivo en C:\, modificar en el archivo worker.properties agregando la ip del servidor, hacer los pasos 9, 10, 11, 12 y 13 ( agregar la ip del servidor en el archivo worker.properties y modificar el ServerName con el que corresponda en el archivo httpd-ssl.conf , lo demás puntos de este paso ya están realizados ), sino a continuación se describe como realizar la configuración desde un apache por default.

Descomprimir el archivo httpd-2.4.29-win64-VC14.zip y y copiar en C:\ la carpeta Apache24.
Descomprimir el archivo mod mod_jk-1.2.42-win64-VCVC14.zip.
Copiar de la carpeta el archivo mod_jk.so a la carpeta C:\Apache24\modules\
Editar el archivo httpd.conf C:\Apache24\conf\
Añadir las siguientes lineas al archivo donde se cargan los modulos:

LoadModule jk_module modules/mod_jk.soEn el mismo archivo habilitar el uso de virtual hosts
# Virtual hosts
Include conf/extra/httpd-vhosts.conf (Adjunto archivo)
En caso de usar https habilitar el uso del https-ssl.conf
Include conf/extra/httpd-ssl.conf
descomentar las lineas:
LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Copiar el archivo httpd-vhosts.conf a C:\Apache24\conf\extra\
Copiar el archivo workers.
properties
properties a C:\Apache24\conf\ .
Copiar el archivo mod_jk.conf a C:\Apache24\alias\ , si no existe la carpeta alias, crearla.
Agregar en el archivo httpd.con la linea "Include C:\Apache24\alias\mod_jk.conf .
Instalar vc_redist.x64.exe, son las librerias de c++ que apache necesita.
Editar el archivo httpd-ssl.conf en C:\Apache24\conf\extra\ y editar las siguientes lineas colocando el nombre del host (ejemplo www.ideasoft.biz ), la ruta del certificado y de la key del mismo:
ServerName www.ideasoft.biz
SSLCertificateFile "c:/Apache24/conf/server.crt"
SSLCertificateKeyFile "c:/Apache24/conf/server.key"
Si se tiene el certificado de la CA hay que descomentar y editar con la ruta del certificado la siguiente linea:

#SSLCACertificateFile "c:/Apache24/conf/ssl.crt/ca-bundle.crt" .

13 11. Agregar el servicio de apache, en una consola ejecutándose como administrador, ir a la ruta c:\Apache24\bin y ejecutar httpd -k install

1412. Modificar la configuración de O3 de acuerdo al siguiente wiki: Cómo configurar O3BI Bajo Apache o IIS ? teniendo en cuenta que el worker que se utiliza en esta configuración es el worker1 y el puerto utilizado es el 80 15. Si se esta usando https modificar Modificar la configuración de O3 de acuerdo al siguiente wiki: Cómo configurar en O3BI 7 acceso por Https https (SSL).

13. Configuración de mod_jk en Apache con https

Agregar los workers en el archivo "conf/workers.properties", definirlo en worker.list y luego agregar el puerto (se obtiene de /jboss/standalone/configuration/o3bi.xml(<socket-binding name="ajp" port="8009"/>) se le suma o resta el offset) y el servidor.

worker.list=worker1,worker2
 #worker o3bi
worker.worker1.port=8009 #(por defecto es el 8009)
worker.worker1.host=Nombre de servidor o ip
worker.worker1.type=ajp13
worker.worker1.lbfactor=1
  #worker para eportal
worker.worker2.port=8309 #(por defecto es el 8309)
worker.worker2.host=Nombre de servidor o ip
worker.worker2.type=ajp13
worker.worker2.lbfactor=1

(Luego de agregar los workers en el archivo "conf/workers.properties" agregar el host virtual en "conf\extra\httpd-ssl.conf )

    ServerName www.ideasoft.biz #cambiar por el nombre dns del virtualhost que se esta configurando.
   
    
     # o3web
  JkMount /o3web worker1
  JkMount /o3web/* worker1
  JkMount /exist worker1
  JkMount /exist/* worker1
  JkMount /o3report worker1
  JkMount /o3report/* worker1
  JkMount /cas/* worker1
  JkMount /o3-rest worker1
  JkMount /o3-rest/* worker1
  JkMount /rbac-rest worker1
  JkMount /rbac-rest/* worker1
  JkMount /o3-parts-blaze-web worker1
  JkMount /o3-parts-blaze-web/* worker1
  JKMount /o3bi-admin worker1
  JKMount /o3bi-admin/* worker1
     
     
    # eportal
    JkMount /eportal worker2
    JkMount /eportal/* worker2
    JkMount /eportalthemes worker2
    JkMount /eportalthemes/* worker2
    JkMount /o3-liferay-theme worker2
    JkMount /o3-liferay-theme/* worker2
    JkMount /geoserver worker2
    JkMount /geoserver/* worker2
    JkMount /o3-parts-web worker2
    JkMount /o3-parts-web/* worker2
    JkMount /o3portal worker2
    JkMount /o3portal/* worker2
    JKMount /notifications-portlet worker2
    JKMount /notifications-portlet/* worker2
    JKMount /welcome-theme worker2
    JKMount /welcome-theme/* worker2
    JKMount /j2ep worker2
    JKMount /j2ep/* worker2
    JKMount /o3bpa-dashlets worker2
    JKMount /o3bpa-dashlets/* worker2
     
  
      
    
</VirtualHost>

...

Configuración de seguridad

Configuración de mod_jk en Apache

Agregar los workers en el archivo "conf/workers.properties", definirlo en worker.list y luego agregar el puerto (se obtiene de /jboss/standalone/configuration/o3bi.xml(<socket-binding name="ajp" port="8009"/>) se le suma o resta el offset) y el servidor.

worker.list=worker1,worker2
 
worker.worker1.port=puerto (por defecto es el 8009)
worker.worker1.host=Nombre de servidor o ip
worker.worker1.type=ajp13
worker.worker1.lbfactor=1
  
worker.worker2.port=puerto (por defecto es el 8309)
worker.worker2.host=Nombre de servidor o ip
worker.worker2.type=ajp13
worker.worker2.lbfactor=1

(Luego de agregar los workers en el archivo "conf/workers.properties" agregar el host virtual en "conf.d/virtualhost.conf", se requiere tener instalado en apache el mod_proxy)

<VirtualHost *:80>

ServerName example.xxx.org

ServerAdmin webmaster@xxx.org

# o3web

JkMount /o3web worker1

JkMount /o3web/* worker1

JkMount /exist worker1

JkMount /exist/* worker1

JkMount /o3report worker1

JkMount /o3report/* worker1

JkMount /cas/* worker1

JkMount /o3-rest worker1

JkMount /o3-rest/* worker1

JkMount /rbac-rest worker1

JkMount /rbac-rest/* worker1

JkMount /o3-parts-blaze-web worker1

JkMount /o3-parts-blaze-web/* worker1

JKMount /o3bi-admin worker1

JKMount /o3bi-admin/* worker1

# eportal

JkMount /eportal worker2

JkMount /eportal/* worker2

JkMount /eportalthemes worker2

JkMount /eportalthemes/* worker2

JkMount /o3-liferay-theme worker2

JkMount /o3-liferay-theme/* worker2

JkMount /geoserver worker2

JkMount /geoserver/* worker2

JkMount /o3-parts-web worker2

JkMount /o3-parts-web/* worker2

JkMount /o3portal worker2

JkMount /o3portal/* worker2

JKMount /notifications-portlet worker2

JKMount /notifications-portlet/* worker2

JKMount /welcome-theme worker2

JKMount /welcome-theme/* worker2

JKMount /j2ep worker2

JKMount /j2ep/* worker2

JKMount /o3bpa-dashlets worker2

JKMount /o3bpa-dashlets/* worker2

#exist

ProxyPass /exist http://servidor:8088/exist

ProxyPassReverse /exist http://servidor:8088/exist

...

Fuga de información interna.

Versiones de software en uso

Revisar documentación pasada sobre configuración de apache en documento anterior.

En excepciones y encabezados se ven las versiones de software en uso.

En el archivo httpd.conf, en las lineas que dicen ErrorDocument con el número de error, hay que crear archivos html personalizados para cada error y colocar la ruta donde se encuentra cada uno, o modificar los archivos top.html y bottom.html que se encuentran dentro de la carpeta include, en la carpeta error en la raíz del la instalación, quitando las referencias a 'SERVER_NAME" y "SERVER_SOFTWARE".

Algoritmos de cifrado inseguro (SSLv2, SSLv3, RC4)

Corresponde a configuración del apache

Buscar la linea SSLProtocol y agregar all -SSLv2 -SSLv3 -RC4, quedando así

"SSLProtocol all -SSLv2 -SSLv3 -RC4" , el all es para aceptar todos los algoritmos y le vamos restando los que no queremos.

Versions Compared

Old Version 5

New Version Current

Key

13. Configuración de mod_jk en Apache con https

Configuración de seguridad

Configuración de mod_jk en Apache