Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    I-doit mit SSL-Proxy nutzen?

    Scheduled Pinned Locked Moved
    Betrieb
    3
    4
    2.3k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      xray
      last edited by

      Hallo zusammen,

      ich habe soeben erfolgreich die aktuellen i-doit Open Version auf meinem Shared Webspace aufgesetzt, das ganze hat mit der manuellen Installation gut geklappt.
      Nun möchte ich i-doit aber über den SSL-Proxy meines Hosters nutzen.

      Reguläre URL ohne SSL: http://www.meinedomain.de/idoit/
      Mit SSL-Proxy: https://sslproxy.de/meinedomain.de/idoit/

      In der config.inc.php habe ich als Base URL deswegen angebenen: /meinedomain.de/idoit/

      Wenn ich i-doit über https://sslproxy.de/meinedomain.de/idoit/ aufrufe, dann hat die Login Seite SSL, das passt.

      Melde ich mich dann an, und klicke auf Login geht i-doit automatisch wieder auf www.meinedomain.de/idoit/, also die ungesicherte Version.

      Wie zwinge ich den i-doit dazu, auf dem SSL-Proxy zu bleiben, also als Basis-URL immer die SSL-Proxy-URL zu verwenden?

      Danke für eure Hilfe!

      1 Reply Last reply Reply Quote 0
      • O
        oneBlade77
        last edited by

        Wir haben es fast hinbekommen bzgl Apache DMZ SSL Proxy
        Intern:http://svcidoit.domain.at/idoit
        Extern:https://proxy.at/idoit

        Ich kann euch gerne die Konfigs & Workflows bei bedarf Posten. Aber denoch
        Haupt Problem ist das "meist" die Java Scripte die interne Domain verwenden (die natürlich von außen nicht erreichbar sind) Daher hat z.B. der Floorplan Probleme
        Schade das unter der Administration keine Domain Override definiert werden kann.

        Wenn hier jemand eine Lösung hätte wäre ich sehr froh, Ich Tüftle weiter wie man dies Lösen könnte…

        (Denn I-Doit Server in die DMZ stellen würde ich hier nicht unbedingt bevorzugen)

        Xray: Ich vermute das dies kein Problem mehr sein sollte, da der post doch einige Tage her ist 😉 Bei mir in der aktuellsten Vers tauchte dieses Problem nicht mehr auf (An sich ist dies eine Konfig Geschichte bzgl intern & externer WebServer)

        (I-Doit Pro V 1.9.1)

        Danke

        1 Reply Last reply Reply Quote 0
        • O
          oneBlade77
          last edited by

          Ich habe es letztendlich zum laufen gebracht hier die Konfiguration
          Damit Idoit nachher per Subfolder (bzw. Alias service.example.com/idoit) aufgerufen werden kann sollte das Document Root wie folgt aussehen.

          /var/www/idoit/idoit/ (der letzte Ordner wird dann quasi der Alias/Subfolder)

          Idoit Interner WebServer

          <ifmodule mod_ssl.c=""><virtualhost default:443="">DocumentRoot /var/www/idoit
                          ServerName idoit.example.com

          ErrorLog ${APACHE_LOG_DIR}/error.log
                          CustomLog ${APACHE_LOG_DIR}/idoit-access.log combined

          RequestHeader set Host "service.example.com" #Proxy url wird als Header übergeben

          <location>Order deny,allow
                                  Allow from 192.168.1.5 #Proxy Server IP
                                  deny from all</location>

          SSLEngine on
                          SSLCertificateFile      /etc/apache2/ssl/idoit.example.com.cer
                          SSLCertificateKeyFile  /etc/apache2/ssl/idoit.example.com.key</virtualhost></ifmodule>

          Interne URL https://idoit.example.com/idoit
          Das Zertifikat könnte hier selbst generiert werden da wir jedes Zertifikat auf dem Proxy akzeptieren.

          Idoit Proxy Externer Web Server

          <ifmodule mod_ssl.c=""><virtualhost *:443="">ServerName service.example.com

          #      DocumentRoot /var/www/service

          SSLEngine on
                  SSLCertificateFile /etc/apache2/ssl/example.com.crt
                  SSLCertificateKeyFile /etc/apache2/ssl/example.com.key
                  SSLCertificateChainFile /etc/apache2/ssl/RootCA.crt

          SSLProxyEngine On
                  SSLProxyVerify none #Zertifikate werden akzeptiert
                  ProxyRequests Off

          ProxyPass /            https://idoit.example.com/ nocanon
                  ProxyPassReverse /              https://idoit.example.com/

          Anschließend sollte I-Doit sauber unter der URL https://service.example.com/idoit laufen

          Im weiterem sollte man beide Apache auf Sicherheit Konfigurieren z.B. das der Proxy eben nicht alle Zertifikate akzeptiert oder Authentifikation davor schalten usw.

          Gruß Marco Amt LH Bregenz</virtualhost></ifmodule>

          1 Reply Last reply Reply Quote 0
          • bheisigB
            bheisig i-doIT Team
            last edited by

            Hallo Marco,

            erst einmal willkommen im i-doit Forum! Die Konfig sieht sehr vielversprechend aus und könnte einigen helfen, die ein sicheres Setup von i-doit inkl. Reverse Proxy betreiben möchten.

            Kleine Anmerkung: Die Konfiguration der VHosts ist spezifisch für Apache 2.2. Unter Apache 2.4 sollte man auf folgende Dinge achten:

            Aus

            
Order deny,allow
Allow from 192.168.1.5 #Proxy Server IP
deny from all

            wird

            
Require all denied
Require ip 192.168.1.5

            Und: Die Option "SSLCertificateChainFile" ist unter Apache 2.4 deprecated und sollte nicht mehr verwendet werden.

            Weitere Hinweise zur SSL-Konfiguration haben wir ürbigens in der Knowledge Base 🙂

            1 Reply Last reply Reply Quote 0
            • First post
              Last post