I-doit mit SSL-Proxy nutzen?



  • Hallo zusammen,

    ich habe soeben erfolgreich die aktuellen i-doit Open Version auf meinem Shared Webspace aufgesetzt, das ganze hat mit der manuellen Installation gut geklappt.
    Nun möchte ich i-doit aber über den SSL-Proxy meines Hosters nutzen.

    Reguläre URL ohne SSL: http://www.meinedomain.de/idoit/
    Mit SSL-Proxy: https://sslproxy.de/meinedomain.de/idoit/

    In der config.inc.php habe ich als Base URL deswegen angebenen: /meinedomain.de/idoit/

    Wenn ich i-doit über https://sslproxy.de/meinedomain.de/idoit/ aufrufe, dann hat die Login Seite SSL, das passt.

    Melde ich mich dann an, und klicke auf Login geht i-doit automatisch wieder auf www.meinedomain.de/idoit/, also die ungesicherte Version.

    Wie zwinge ich den i-doit dazu, auf dem SSL-Proxy zu bleiben, also als Basis-URL immer die SSL-Proxy-URL zu verwenden?

    Danke für eure Hilfe!



  • Wir haben es fast hinbekommen bzgl Apache DMZ SSL Proxy
    Intern:http://svcidoit.domain.at/idoit
    Extern:https://proxy.at/idoit

    Ich kann euch gerne die Konfigs & Workflows bei bedarf Posten. Aber denoch
    Haupt Problem ist das "meist" die Java Scripte die interne Domain verwenden (die natürlich von außen nicht erreichbar sind) Daher hat z.B. der Floorplan Probleme
    Schade das unter der Administration keine Domain Override definiert werden kann.

    Wenn hier jemand eine Lösung hätte wäre ich sehr froh, Ich Tüftle weiter wie man dies Lösen könnte…

    (Denn I-Doit Server in die DMZ stellen würde ich hier nicht unbedingt bevorzugen)

    Xray: Ich vermute das dies kein Problem mehr sein sollte, da der post doch einige Tage her ist 😉 Bei mir in der aktuellsten Vers tauchte dieses Problem nicht mehr auf (An sich ist dies eine Konfig Geschichte bzgl intern & externer WebServer)

    (I-Doit Pro V 1.9.1)

    Danke



  • Ich habe es letztendlich zum laufen gebracht hier die Konfiguration
    Damit Idoit nachher per Subfolder (bzw. Alias service.example.com/idoit) aufgerufen werden kann sollte das Document Root wie folgt aussehen.

    /var/www/idoit/idoit/ (der letzte Ordner wird dann quasi der Alias/Subfolder)

    Idoit Interner WebServer

    <ifmodule mod_ssl.c=""><virtualhost default:443="">DocumentRoot /var/www/idoit
                    ServerName idoit.example.com

    ErrorLog ${APACHE_LOG_DIR}/error.log
                    CustomLog ${APACHE_LOG_DIR}/idoit-access.log combined

    RequestHeader set Host "service.example.com" #Proxy url wird als Header übergeben

    <location>Order deny,allow
                            Allow from 192.168.1.5 #Proxy Server IP
                            deny from all</location>

    SSLEngine on
                    SSLCertificateFile      /etc/apache2/ssl/idoit.example.com.cer
                    SSLCertificateKeyFile  /etc/apache2/ssl/idoit.example.com.key</virtualhost></ifmodule>

    Interne URL https://idoit.example.com/idoit
    Das Zertifikat könnte hier selbst generiert werden da wir jedes Zertifikat auf dem Proxy akzeptieren.

    Idoit Proxy Externer Web Server

    <ifmodule mod_ssl.c=""><virtualhost *:443="">ServerName service.example.com

    #      DocumentRoot /var/www/service

    SSLEngine on
            SSLCertificateFile /etc/apache2/ssl/example.com.crt
            SSLCertificateKeyFile /etc/apache2/ssl/example.com.key
            SSLCertificateChainFile /etc/apache2/ssl/RootCA.crt

    SSLProxyEngine On
            SSLProxyVerify none #Zertifikate werden akzeptiert
            ProxyRequests Off

    ProxyPass /            https://idoit.example.com/ nocanon
            ProxyPassReverse /              https://idoit.example.com/

    Anschließend sollte I-Doit sauber unter der URL https://service.example.com/idoit laufen

    Im weiterem sollte man beide Apache auf Sicherheit Konfigurieren z.B. das der Proxy eben nicht alle Zertifikate akzeptiert oder Authentifikation davor schalten usw.

    Gruß Marco Amt LH Bregenz</virtualhost></ifmodule>


  • i-doIT Team

    Hallo Marco,

    erst einmal willkommen im i-doit Forum! Die Konfig sieht sehr vielversprechend aus und könnte einigen helfen, die ein sicheres Setup von i-doit inkl. Reverse Proxy betreiben möchten.

    Kleine Anmerkung: Die Konfiguration der VHosts ist spezifisch für Apache 2.2. Unter Apache 2.4 sollte man auf folgende Dinge achten:

    Aus

    
    Order deny,allow
    Allow from 192.168.1.5 #Proxy Server IP
    deny from all
    
    

    wird

    
    Require all denied
    Require ip 192.168.1.5
    
    

    Und: Die Option "SSLCertificateChainFile" ist unter Apache 2.4 deprecated und sollte nicht mehr verwendet werden.

    Weitere Hinweise zur SSL-Konfiguration haben wir ürbigens in der Knowledge Base 🙂


Log in to reply
 


Datenschutz / Privacy Policy