配置Apache实现url转发

1. 目的

   公司内网的服务或业务系统不宜直接暴露到外部公网上，常见做法是在DMZ区域配置一台服务器，实现http或https转发。本次实验要实现的目标，即在linux服务器上安装apache httpd server，通过配置实现http/https转发。

2. 环境及文件准备

   2.1. 目标系统为Oracle linux虚拟机，已预装openssl-0.9.8a, apache-2.2.3

   2.2. apache：apache httpd-2.2.29

   2.3. 依赖包：
   

     openssl：openssl-1.0.2a.tar.gz

     apr: apr-1.5.1.tar.gz, apr-util-1.5.4.tar.gz,

     zlib: zlib-1.2.8.tar.gz。

   注：本文安装程序采用的是下载源文件后编译并安装的方式。
   

3. 操作步骤

   主要包括三个步骤，安装openssl等apache依赖的其他相关程序 -> 安装apache httpd并设置http代理与反向代理 -> 生成ssl证书并配置虚拟机以及https代理与反向代理。

   步骤1、安装依赖包

   #### 安装 apr
   # 首先，解压tar包
   tar zxvf apr-1.5.1.tar.gz
   # 然后，转到解压后的目录
   cd apr-1.5.1
   # 最后，依次执行configure、编译和安装命令
   ./configure --prefix=/usr/local/apr
   make
   make install
   
   #### 安装 apr-util，步骤基本同上，在执行configure时，指定apr位置
   ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
   
   #### 安装 openssl1.0.2a，步骤基本同上，configure命令按如下：
   ./config --prefix=/usr/local/openssl
   # make && make install后的额外步骤：
   # 1）、在/usr/local目录下添加一个软链接，便于以后设置ssl
   ln -s openssl ssl
   # 2）、在/etc/ld.so.conf文件的最后面，添加如下内容：/usr/local/openssl/lib
   # 3）、执行ldconfig
   ldconfig
   # 4）、添加openssl的环境变量：
   # 在 etc/ 的profile的最后一行，添加：
   export OPENSSL=/usr/local/openssl/bin
   export PATH=$OPENSSL:$PATH:$HOME/bin
   # 5）、退出当前Terminal 命令界面，并重新登陆。注意此步骤不能缺少。
   # 6）、检测openssl的安装情况
   cd /usr/local
   ldd /usr/local/openssl/bin/openssl
   # 此步骤执行后会出现类似如下信息：
       linux-vdso.so.1 =>  (0x00007fff3bc73000)
       libdl.so.2 => /lib64/libdl.so.2 (0x00007fc5385d7000)
       libc.so.6 => /lib64/libc.so.6 (0x00007fc538279000)
       /lib64/ld-linux-x86-64.so.2 (0x00007fc5387db000)
   # 查看路径
   which openssl
   # 显示：/usr/local/openssl/bin/openssl
   # 查看版本
   openssl version
   # 显示： OpenSSL 1.0.2a 27 Mar 2015
   # 至此，openssl-1.0.2a安装完毕。
   
   #### 安装zlib，步骤同上
   ./configure

   步骤2、安装httpd并配置httpd.conf

   tar zxvf httpd-2.2.29.tar.gz
   cd httpd-2.2.29
   # 在执行configure之前，先执行这句（*详见：问题及解决办法4.4章节）
   export LDFLAGS=-ldl
   # 执行configure
   ./configure --prefix=/usr/local/apache --enable-so --enable-ssl=static --with-ssl=/usr/local/openssl --enable-mods-shared=all --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util
   # 编译和安装
   make
   make install

   步骤3、生成ssl证书及配置https代理及反向代理

   ssl证书生成过程见问题及解决办法4.5章节，本处假定已经生成server.crt、server.key文件。则http/https的代理及反向代理配置方法：

   #### 修改apache虚拟机主机配置文件 usr/local/apache/conf/extra/httpd-vhost.conf：
   #使用vi在文件中相应位置添加：
   NameVirtualHost *:443
   
   <VirtualHost *:443>
        DocumentRoot /usr/local/apache/htdocs
        ServerName TechRunner
        SSLEngine on
        SSLProxyEngine on
        SSLCertificateFile /usr/local/apache/conf/server.crt
        SSLCertificateKeyFile /usr/local/apache/conf/server.key
        ProxyRequests off
        ProxyPass / https://****.com/
        ProxyPa***everse / https://****.com/
   </VirtualHost>
   
   #### 配置apache /usr/local/apache/conf/httpd.conf：
   # 指定虚拟主机配置文件并将其附加到主配置文件
   Include conf/extra/httpd-vhosts.conf
   # 指定SSL配置文件并将其附加到主配置文件
   Include conf/extra/httpd-ssl.conf

   最后，启动apache

   # 若本机仅安装了一个apache服务器，则可使用如下命令关闭/启动/重启/查看状态：
   service httpd stop/start/restart/status
   # 否则，可通过指定httpd程序和httpd.conf配置文件的方式启动：
   /usr/local/apache/bin/httpd  -f /usr/local/apache/conf/httpd.conf -k start

4. 问题及解决办法
   

   4.1. 端口占用
   当系统安装了多个httpd时，若配置不当，可能存在端口（默认80）占用。此时需要查找并关闭占用80端口的程序。

   #查看占用80端口的进程（显示pid）： 
   netstat -pan | grep :80
   #查找并kill掉占用80端口的所有进程：
   lsof -i :80|grep -v "PID"|awk '{print "kill -9",$2}'|sh

   4.2. 启动多个httpd进程
   使用命令：
   /usr/local/apache/bin/httpd -f /路径1/httpd.conf -k start
   /usr/local/apache/bin/httpd -f /路径2/httpd.conf -k start
   这样就可以加载不同的配置文件httpd.conf，从而启动多个httpd(apache)进程了。
   

   4.3. 如何加载ssl_module
   网上查到的内容，需要通过修改httpd.conf，启用LoadModule ssl_module modules/mod_ssl.so，但实际上httpd-2.2.26版本httpd.conf文件中无此项，这是因为它已经内建ssl，不需要再声明加载此模块。
   

   4.4. 安装httpd时报错：configure: error: ... Error, SSL/TLS libraries were missing or unusable
   解决办法：在configure之前，执行如下一句设置环境变量：
   export LDFLAGS=-ldl
   参见：http://www.metsky.com/archives/563.html

   4.5. 制作ssl证书

   一般步骤：

   # 首先，生成服务器密钥（采用des3算法）：
   openssl genrsa -des3 -out server.key 1024
   # 或者采用默认的128位rsa算法，生成密钥，得到server.key文件
   # openssl genrsa 1024 >server.key
       
   # 其次，生成服务器证书请求文件，并按要求逐一填些相关证书信息：
   openssl req -new -key server.key -out server.csr
   
   # 最终，生成证书（签证）：    
   openssl x509 -req -days 700 -in server.csr -signkey server.key -out server.cert
   # 其中，-days参数指明证书有效期，单位为天。
   # Signature ok，将crt和key文件放到指定的conf目录下：
   cp server.crt server.key /usr/local/apache/conf

   4.6. 关於单独加载proxy_modules

   httpd 安装完成后，检查httpd.conf文件，发现未加载proxy_module和proxy_http_module。若存在这种问题，将导致无法配置实现http/https代理与反向代理。经查询，此问题可以通过单独编译和加载proxy_modules的方式来解决。

   首先，进入apache解压后源码目录下的modules/proxy目录，
   然后，运行如下命令自动编译、安装和修改httpd.conf文件，激活mod_proxy模块：

   apachepath/bin/apxs -c -i -a mod_proxy.c proxy_util.c
   apachepath/bin/apxs -c -i -a mod_proxy_http.c proxy_util.c
   
   # apxs命令选项说明：
   -c 执行编译操作
   -i 安装操作，安装一个或多个动态共享对象到服务器的modules目录
   -a 自动增加一个LoadModule行到httpd.conf文件，以激活此模块，若此行存在则启用之
   -A 与-a类似，但是它增加的LoadModule行前有井号前缀(#)
   -e 需要执行编辑操作，可与-a和-A选项配合使用，
   与-i操作类似，修改httpd.conf文件，但并不安装此模块

   执行完后，检查httpd.conf，发现proxy_modules, proxy_http_modules已经加载。
   最后，重启apache。
   

5. 测试结果及总结
   通过配置apache虚拟机，实现了http/https的自动转发。