Для работы серверных компонентов системы на ОС Linux требуется веб-сервер, работающий в режиме работы обратного прокси-сервера.
Nginx — это HTTP-сервер и обратный прокси-сервер, почтовый прокси-сервер, а также TCP/UDP прокси-сервер общего назначения, продукт позиционируется производителем как простой, быстрый и надежный.
| Info |
|---|
| Для установки NGINX, должен быть подключен и настроен репозиторий пакетов nginx. Если это |
...
| небыло сделано автоматически, добавьте репозиторий вручную. |
Ручное добавление репозитория nginxnginx
RHEL и производные дистрибутивы
...
Для подключения yum-репозитория создайте файл с именем /etc/yum.repos.d/nginx.repo со следующим содержимым:
|
...
Выпустить сертификат на УЦ, например, Microsoft CA, экспортировать данный сертификат в формате .pfx на машину с установленным nginx (с закрытым ключом, с цепочкой корневых/промежуточных УЦ), и сертификат корневого УЦ.
Indeed CMWarning Субъект (Subject) сертификата должен содержать FQDN сервера
Indeed CMRutoken KeyBox.
Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервераRutoken KeyBox). Например: redos.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).
Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).Добавить сертификат корневого УЦ в доверенные на машине с установленным nginx.
Для RHEL и производных дистрибутивов:sudocp./root-ca.crt/etc/pki/ca-trust/source/anchors/sudoupdate-ca-trust extractДля Debian и производных дистрибутивов:
sudocp./root-ca.crt/usr/local/share/ca-certificates/sudoupdate-ca-certificates -fРазделить .pfx сертификат на файл цепочки сертификатов и ключ, сделать файл ключа без пароля (необходимо подставить имя импортированного файла вместо PFXFILE):
openssl pkcs12 -inPFXFILE.pfx -chain -nokeys |sed-ne'/-BEGIN CERTIFICATE/,/END CERTIFICATE/p'> SSL.crtopenssl pkcs12 -inPFXFILE.pfx -nocerts -out SSLencrypted.keyopenssl rsa -inSSLencrypted.key -out SSL.keyФайл цепочки сертификатов должен быть следующего вида:
-----BEGIN CERTIFICATE-----#Ваш сертификат#-----END CERTIFICATE----------BEGIN CERTIFICATE-----#Промежуточный сертификат#-----END CERTIFICATE----------BEGIN CERTIFICATE-----#Корневой сертификат#-----END CERTIFICATE-----Скопировать файлы цепочки сертификатов и ключа в папку, которая будет указана в файле конфигурации nginx:
sudocp./SSL.crt/etc/ssl/private/sudocp./SSL.key/etc/ssl/private/
Настройка конфигурационного файла
Для работы Indeed CM Рутокен KeyBox требуется настроить nginx, чтобы он обслуживал запросы и отправлял их на проксируемый адрес (сервис Indeed CMRutokenKeyBox).
Как работают nginx и его модули, определяется в конфигурационном файле, по умолчанию он называется nginx.conf и в зависимости от операционной системы расположен в каталоге /usr/local/nginx/conf, /etc/nginx или /usr/local/etc/nginx.
...
| Контекст | Директива | Значение по умолчанию | Рекомендуемое значение | Комментарий |
|---|---|---|---|---|
| http | proxy_buffer_size | 4k|8k | 16k | Увеличивается размер прокси буферов для передачи необходимой информации в http-запросах. |
| proxy_buffers | 8 4k | 8 8k | 4 16k | Увеличивается размер прокси буферов для передачи необходимой информации в http-запросах. | |
| types_hash_max_size | 1024 | 4096 | Увеличивается размер хэш-таблиц для хранения информации в виду большого количества проксируемых сервисов. | |
| server | listen | 80 | 443 ssl | Изменяется порт прослушивания на протокол HTTPS, по умолчанию nginx настроен на HTTP. |
3003 ssl | Порт 3003 указывается для дополнительного контекста server в случае использования агентского функционала Indeed CMагентской функциональности Рутокен KeyBox. | |||
| server_name | — | * | * Требуется указать, обычно совпадает с именем машины, на которой установлен nginx. Используется для фильтра обработки запросов. | |
| ssl_certificate | — | /etc/ssl/private/SSL.crt | Для работы по HTTPS указывается путь к файлу с цепочкой сертификатов (SSL сертификат, сертификаты промежуточного и корневого УЦ). | |
| ssl_certificate_key | — | /etc/ssl/private/SSL.key | Для работы по HTTPS указывается путь к закрытому ключу SSL сертификата. | |
| ssl_verify_client | off | optional_no_ca | Добавляется в случае авторизации по сертификату (используется клиентскими агентами) | |
| location | proxy_pass | — | * | * Один экземпляр контекста location направляет запросы на один адрес - сервис Indeed CMRutokenKeyBox. Таким образом контекстов location должно быть столько, сколько есть сервисов Indeed CMRutokenKeyBox. Где необходимо указать PORT — порт, на котором запущен сервис Indeed CMRutokenKeyBox, а также SERVICENAME и AGENTSERVICENAME — имя запущенного сервиса. |
| include | — | /etc/nginx/conf.d/proxy.conf | Некоторые директивы описываются для каждого location, и для компактности конфигурационного файла рекомендуется создать файл с часто используемым набором директив и подключать его в каждый location вместо описывания набора целиком. | |
| proxy_http_version | 1.0 | 1.1 | Версия 1.1 рекомендуется для keepalive подключений и NTLM аутентификации. | |
| proxy_cache_bypass | — | $http_upgrade | Определяет условия, при которых ответ не будет браться из кэша. | |
| proxy_set_header | — | Upgrade $http_upgrade | Определяет переход с HTTP/1.1 на Web-socket после установления соединения. | |
| Connection keep-alive | Для использования keepalive подключений. | |||
| Host $host | Для сохранения в заголовках имени nginx сервера при их передаче сервисам Indeed CMRutokenKeyBox. | |||
| X-Real-IP $remote_addr | По умолчанию, работа в режиме обратного прокси использует нестандартные заголовки о пользовательском IP адресе, что требует задания данной директивы. | |||
| X-Forwarded-For $proxy_add_x_forwarded_for | Подобно X-Real-IP $remote_addr, определяет формирование заголовка для корректного проксирования. Если поле X-Forwarded-For не присутствовало в изначальном заголовке, то $proxy_add_x_forwarded_for = $remote_addr. | |||
| X-Forwarded-Proto $scheme | Веб-сервер принимает запросы по HTTPS и проксирует их к HTTP сервисам Indeed CMRutoken KeyBox. Для корректной подмены протокола. | |||
| fastcgi_buffers | 8 4k|8k | 16 16k | Определяет количество и размер буферов для чтения ответов от FastCGI сервера, на одно подключение. | |
| fastcgi_buffer_size | 4k|8k | 32k | Определяет размер буфера для чтения первой части ответа от FastCGI сервера. | |
| proxy_set_header | — | x-ssl-client-cert $ssl_client_escaped_cert | Директива при проксировании передавать клиентский сертификат, используется для авторизации по сертификату (используется клиентскими агентами). |
...
Создайте файл с многократно используемыми директивами. Возможно разместить такой файл с расширением .conf в каталоге /etc/nginx/conf.d/.
Рекомендуемое содержимое файла:proxy_http_version1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection keep-alive;proxy_set_header Host $host;proxy_cache_bypass $http_upgrade;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;fastcgi_buffers1616k;fastcgi_buffer_size 32k;Сконфигурируйте основной файл конфигурации nginx.
Warning Имена контекстов location должны совпадать с путем к проксируемому сервису. Пример файла nginx.conf, сконфигурированного для работы с Indeed CMRutokenKeyBox:
user nginx;worker_processes auto;error_log /var/log/nginx/error.log notice;events { worker_connections1024; }
http {proxy_buffer_size 16k;proxy_buffers416k;types_hash_max_size4096;
log_format main'[$time_local] $remote_addr VIA $scheme --- $status --- $request \n $ssl_client_fingerprint';access_log /var/log/nginx/access.log main;sendfile on;tcp_nopush on;include /etc/nginx/mime.types;default_type application/octet-stream;server {listen443ssl;server_name redos.demo.local;
ssl_certificate"/etc/ssl/private/SSL.crt";ssl_certificate_key"/etc/ssl/private/SSL.key";
location /cm/oidc{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5000/cm/oidc; }location /cm/mc{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5001/cm/mc; }location /cm/ss{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5002/cm/ss; }location /cm/rss{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5003/cm/rss; }location /cm/api{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5004/cm/api; }location /cm/credprovapi{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5005/cm/credprovapi; }}server {listen3003ssl;server_name redos.demo.local;
ssl_certificate"/etc/ssl/private/SSL.crt";ssl_certificate_key"/etc/ssl/private/SSL.key";ssl_verify_client optional_no_ca;location /agentregistrationapi{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5006/agentregistrationapi; }location /agentserviceapi{ include /etc/nginx/conf.d/proxy.conf;proxy_pass http://localhost:5007/agentserviceapi;proxy_set_header x-ssl-client-cert $ssl_client_escaped_cert; }}}
Изменения, сделанные в конфигурационном файле, не будут применены, пока nginx не будет отправлена команда перезагрузить конфигурацию или он не будет перезапущен. Для перезагрузки конфигурации выполните команду:
|