La passerelle SGD Gateway comporte les composants suivants :
Proxy de routage. Une application basée sur Java qui achemine les connexions de données AIP vers un serveur SGD.
Les composants principaux du proxy de routage sont les suivants :
Jetons de routage : reportez-vous à la Section A.2.1, « A propos des jetons de routage »
Keystores : reportez-vous à la Section A.2.2, « Keystores utilisés par la passerelle SGD Gateway »
Fichier de configuration de proxy de routage : reportez-vous à la section Section A.2.3, « Fichier de configuration de proxy de routage »
Proxy inverse. Serveur Web Apache configuré pour fonctionner en mode proxy inverse. Le proxy inverse effectue également l'équilibrage de charge des connexions HTTP.
Les principaux composants du proxy inverse sont les suivants :
Fichiers de configuration du serveur Web Apache : reportez-vous à la Section A.2.4, « Fichiers de configuration du serveur Web Apache »
Modules Apache pour les opérations de proxy inverse et d'équilibrage de charge HTTP : reportez-vous à la Section A.2.5, « Modules Apache utilisés par la passerelle SGD Gateway »
La passerelle SGD Gateway utilise un jeton de routage pour gérer une connexion AIP. Un jeton de routage est un message chiffré et signé qui permet d'identifier les serveurs SGD d'origine et de destination pour une route. Le jeton de routage inclut un horodatage, lequel permettra de limiter la durée de vie du jeton.
Les jetons de routage sortants subissent les opérations suivantes :
Signature sur le serveur SGD à l'aide de la clé privée du serveur SGD.
Chiffrement sur le serveur SGD à l'aide du certificat SGD Gateway.
Envoi au client SGD sur le périphérique client.
Les jetons de routage entrants subissent les opérations suivantes :
Déchiffrement sur la passerelle SGD Gateway à l'aide de la clé privée de la passerelle.
Vérification sur la passerelle SGD Gateway à l'aide du certificat AC du serveur SGD d'origine.
Suppression sur la passerelle SGD Gateway. La connexion présentant le jeton de routage est dirigée vers le serveur SGD de destination.
La passerelle SGD Gateway utilise des clés privées et des certificats pour signer et vérifier les jetons de routage, pour sécuriser les connexions aux serveurs SGD du groupe, pour sécuriser les connexions client à la passerelle SGD Gateway, et pour autoriser l'accès au service de réflexion.
Les certificats et les clés privées utilisés par la passerelle SGD Gateway sont stockés dans des keystores situés dans le répertoire /opt/SUNWsgdg/proxy/etc
.
Ce répertoire contient les keystores suivants :
Keystore de la passerelle SGD Gateway. Le keystore de la passerelle SGD Gateway, keystore
, contient le certificat et la clé privée de la passerelle SGD Gateway, les certificats AC des serveurs SGD du groupe et les certificats SSL du serveur SGD permettant de sécuriser les connexions aux serveurs SGD du groupe.
Pour ajouter, retirer et répertorier les entrées du keystore de la passerelle SGD Gateway, utilisez la commande gateway.
Keystore du client. Le keystore du client, keystore.client
, contient un seul certificat SSL de la passerelle SGD Gateway et la clé privée utilisée pour sécuriser les connexions entre le périphérique client et la passerelle SGD Gateway. Par défaut, ce keystore contient un certificat auto-signé. Vous pouvez remplacer ce certificat par un certificat signé par une autorité de certification.
Keystore du service de réflexion. Le keystore du service de réflexion, keystore.reflection
, contient un certificat et une clé privée utilisés pour autoriser l'accès au service de réflexion sur la passerelle SGD Gateway. Par défaut, ce keystore contient un certificat auto-signé et une clé privée.
Les keystores sont créés automatiquement lors de l'exécution de la commande gateway setup après avoir installé la passerelle SGD Gateway.
Tous les keystores utilisent le même mot de passe, lequel est défini dans le fichier /opt/SUNWsgdg/etc/password
. Le mot de passe est un mot de passe aléatoire créé automatiquement lors de la création initiale des keystores. Le fichier de mot de passe peut uniquement être lu par un superutilisateur (utilisateur root).
Le fichier de configuration du proxy de routage est le suivant : /opt/SUNWsgdg/etc/gateway.xml
. Il s'agit d'un fichier XML qui permet de configurer les routes, en fonction du type de protocole des données. Le fichier configure également les emplacements de keystore et les mots de passe nécessaires pour le routage et les protocoles SSL.
Le fichier de configuration du proxy de routage est créé automatiquement lorsque vous installez la passerelle SGD Gateway. Il est mis à jour lorsque vous utilisez la commande gateway config pour modifier le fichier de configuration de la passerelle SGD Gateway.
Utilisez les commandes gateway config pour configurer la passerelle. Si possible, évitez de modifier le fichier gateway.xml
de façon manuelle. Toute configuration incorrecte du fichier gateway.xml
peut entraîner un dysfonctionnement de la passerelle SGD Gateway.
Le fichier de configuration du proxy de routage par défaut utilise le mot de passe indiqué dans le fichier /opt/SUNWsgdg/etc/password
pour accéder aux keystores utilisés par la passerelle SGD Gateway. Si vous ne souhaitez pas enregistrer ce mot de passe sur disque, prenez note de la valeur du mot de passe. Ensuite, supprimez le fichier de mot de passe, ainsi que les entrées password
de tous les éléments <keystore>
figurant dans le fichier gateway.xml
. Au prochain démarrage de la passerelle SGD Gateway, vous devrez donc saisir le mot de passe du keystore.
Pour modifier le mot de passe d'un keystore utilisé par la passerelle SGD Gateway, utilisez l'option -storepasswd
de la commande keytool. Par exemple, pour modifier le mot de passe du keystore keystore.client
, exécutez la commande suivante :
# /opt/SUNWsgdg/java/default/bin/keytool -storepasswd \ -keystore /opt/SUNWsgdg/proxy/etc/keystore.client
Reportez-vous à la documentation relative aux outils et utilitaires JDK pour plus d'informations sur le fonctionnement de l'application keytool.
Le répertoire /opt/SUNWsgdg/etc
contient également des fichiers de type .xml
et .template
. Ces fichiers sont utilisés en interne par la commande gateway config pour mettre à jour le fichier gateway.xml
. Il est fortement déconseillé de modifier ces fichiers manuellement.
Les fichiers de configuration pour le serveur Web Apache configurés pour être utilisés avec la passerelle SGD Gateway se trouvent dans le répertoire /opt/SUNWsgdg/httpd/
.
apache-version
/conf
Les fichiers de configuration situés dans ce répertoire permettent de configurer le fonctionnement du proxy inverse et l'équilibrage de charge pour le serveur Web Apache.
Les fichiers permettant de configurer le fonctionnement du proxy inverse et l'équilibrage de charge sont situés dans le sous-répertoire extra/gateway
. Ces fichiers sont activés par la directive Include
suivante dans le fichier httpd.conf
:
# SGD Reverse Proxy/Load Balance settings Include conf/extra/gateway/httpd-gateway.conf
Le fichier httpd-gateway.conf
configure le fonctionnement du proxy inverse et l'équilibrage de charge pour le serveur Web Apache. Les membres du groupe d'équilibrage de charge sont définis à l'aide d'une directive Include
indiquée dans le fichier httpd-gateway.conf
, comme suit :
<Proxy Balancer://mysgdservers/> Include conf/extra/gateway/servers/*.conf </Proxy>
Le répertoire extra/gateway/servers
contient des fichiers de configuration pour chacun des serveurs Web SGD du groupe d'équilibrage de charge. Les fichiers de configuration sont nommés
, server-name
.confserver-name
correspondant au nom de serveur utilisé dans la commande gateway server add. Reportez-vous à la Section B.12, « gateway server add » pour plus d'infos sur cette commande.
La passerelle SGD Gateway utilise un équilibrage de charge HTTP de type session persistante. Cela signifie que le proxy inverse Apache définit un cookie dans le navigateur du client qui permettra de rediriger systématiquement le navigateur vers le serveur Web SGD qui a été choisi par l'équilibrage de charge. Le cookie expire à la fin de la session utilisateur.
Les cookies des sessions persistantes sont activés par la directive Header add Set-Cookie
indiquée dans le fichier httpd-gateway.conf
, comme suit :
Header add Set-Cookie "BALANCEID=balanceworker.%{BALANCER_WORKER_ROUTE}e; path=/" \ env=BALANCER_ROUTE_CHANGED
BALANCEID
correspondant au nom du cookie, et BALANCER_WORKER_ROUTE
et BALANCER_ROUTE_CHANGED
à des variables d'environnement exportées par le module mod_proxy_balancer
d'Apache. Reportez-vous à la documentation relative au module mod_proxy_balancer d'Apache pour plus d'informations sur ces variables d'environnement.
Le serveur Web Apache fourni avec la passerelle SGD Gateway utilise les modules Apache standard pour les opérations de proxy inverse et d'équilibrage de charge. Les modules sont installés en tant que modules DSO (Dynamic Shared Object).
Les modules sont activés par les directives LoadModule
du fichier de configuration Apache httpd.conf
, à l'adresse /opt/SUNWsgdg/httpd/
.
apache-version
/conf/httpd.conf