Prowadzimy uruchomioną aplikację Java EEJBoss. Ze względów bezpieczeństwa ta aplikacja, która powinna być dostępna w Internecie, jest chroniona przez frontowy serwer Apache. Używamy AJP, aby to umożliwić.
Działa to dobrze, gdy mamy dostęp do aplikacjiprzez http. Gdy próbujemy to zrobić za pomocą protokołu HTTPS, nie działa, otrzymujemy błąd 404 po uzyskaniu dostępu do aplikacji Java EE. Umieściliśmy certyfikaty SSL w serwerze Apache.
Odpowiedzi:
2 dla odpowiedzi № 1Cytat z community.jboss.org
Obsługa szyfrowania i SSL
Protokół AJP nie jest szyfrowany, więc nie powinienbyć używane z infrastrukturą sieci publicznej. W przypadku konieczności zabezpieczenia transmisji danych między serwerem WWW a serwerem aplikacji, ponieważ nośnik transportu może być wciągany przez świat zewnętrzny, należy użyć jakiegoś tunelu SSL. Inną opcją jest użycie protokołu https z mod_proxy. Jednak korzystanie z protokołu https sprawia, że rzeczy są nieco bardziej skomplikowane, ponieważ należy pamiętać o zapisaniu niestandardowego filtru na serwerze aplikacji, aby certyfikaty klientów były przekazywane w sposób przejrzysty do serwera aplikacji. Protokół AJP z drugiej strony obsługuje to automatycznie, ale z konsekwencją przekazywania odszyfrowanych danych między serwerem WWW a serwerem aplikacji. W istocie dla protokołu SSL protokół AJP zachowuje się jak buforujący akcelerator SSL. Zapewnia to znacznie wyższą wydajność, ponieważ dane są odszyfrowywane tylko raz. Zabezpieczanie sieci między serwerem WWW a serwerem aplikacji za pomocą innej karty sieciowej i zestawu zapór ogniowych i routerów jest najbezpieczniejszym rozwiązaniem. Inną opcją jest umieszczenie serwera WWW i aplikacji na tym samym fizycznym polu, w którym to przypadku używana będzie komunikacja w pamięci, zwiększając w ten sposób bezpieczeństwo całego systemu.
1 dla odpowiedzi nr 2
Protokół SSL w Apache jest włączany z użyciem osobnego hosta wirtualnego (vhost). Czy włączono i skonfigurowano? mod_jk (mod_proxy_ajp/mod_cluster) dla tego vhosta?