A.2. Composants de la passerelle SGD Gateway

La passerelle SGD Gateway comporte les composants suivants :

A.2.1. A propos des jetons de routage

La passerelle SGD Gateway utilise un jeton de routage pour gérer une connexion AIP. Un jeton de routage est un message chiffré et signé qui permet d'identifier les serveurs SGD d'origine et de destination pour une route. Le jeton de routage inclut un horodatage, lequel permettra de limiter la durée de vie du jeton.

Les jetons de routage sortants subissent les opérations suivantes :

  • Signature sur le serveur SGD à l'aide de la clé privée du serveur SGD.

  • Chiffrement sur le serveur SGD à l'aide du certificat SGD Gateway.

  • Envoi au client SGD sur le périphérique client.

Les jetons de routage entrants subissent les opérations suivantes :

  • Déchiffrement sur la passerelle SGD Gateway à l'aide de la clé privée de la passerelle.

  • Vérification sur la passerelle SGD Gateway à l'aide du certificat AC du serveur SGD d'origine.

  • Suppression sur la passerelle SGD Gateway. La connexion présentant le jeton de routage est dirigée vers le serveur SGD de destination.

A.2.2. Keystores utilisés par la passerelle SGD Gateway

La passerelle SGD Gateway utilise des clés privées et des certificats pour signer et vérifier les jetons de routage, pour sécuriser les connexions aux serveurs SGD du groupe, pour sécuriser les connexions client à la passerelle SGD Gateway, et pour autoriser l'accès au service de réflexion.

Les certificats et les clés privées utilisés par la passerelle SGD Gateway sont stockés dans des keystores situés dans le répertoire /opt/SUNWsgdg/proxy/etc.

Ce répertoire contient les keystores suivants :

  • Keystore de la passerelle SGD Gateway. Le keystore de la passerelle SGD Gateway, keystore, contient le certificat et la clé privée de la passerelle SGD Gateway, les certificats AC des serveurs SGD du groupe et les certificats SSL du serveur SGD permettant de sécuriser les connexions aux serveurs SGD du groupe.

    Pour ajouter, retirer et répertorier les entrées du keystore de la passerelle SGD Gateway, utilisez la commande gateway.

  • Keystore du client. Le keystore du client, keystore.client, contient un seul certificat SSL de la passerelle SGD Gateway et la clé privée utilisée pour sécuriser les connexions entre le périphérique client et la passerelle SGD Gateway. Par défaut, ce keystore contient un certificat auto-signé. Vous pouvez remplacer ce certificat par un certificat signé par une autorité de certification.

  • Keystore du service de réflexion. Le keystore du service de réflexion, keystore.reflection, contient un certificat et une clé privée utilisés pour autoriser l'accès au service de réflexion sur la passerelle SGD Gateway. Par défaut, ce keystore contient un certificat auto-signé et une clé privée.

Les keystores sont créés automatiquement lors de l'exécution de la commande gateway setup après avoir installé la passerelle SGD Gateway.

Note

Tous les keystores utilisent le même mot de passe, lequel est défini dans le fichier /opt/SUNWsgdg/etc/password. Le mot de passe est un mot de passe aléatoire créé automatiquement lors de la création initiale des keystores. Le fichier de mot de passe peut uniquement être lu par un superutilisateur (utilisateur root).

A.2.3. Fichier de configuration de proxy de routage

Le fichier de configuration du proxy de routage est le suivant : /opt/SUNWsgdg/etc/gateway.xml. Il s'agit d'un fichier XML qui permet de configurer les routes, en fonction du type de protocole des données. Le fichier configure également les emplacements de keystore et les mots de passe nécessaires pour le routage et les protocoles SSL.

Le fichier de configuration du proxy de routage est créé automatiquement lorsque vous installez la passerelle SGD Gateway. Il est mis à jour lorsque vous utilisez la commande gateway config pour modifier le fichier de configuration de la passerelle SGD Gateway.

Attention

Utilisez les commandes gateway config pour configurer la passerelle. Si possible, évitez de modifier le fichier gateway.xml de façon manuelle. Toute configuration incorrecte du fichier gateway.xml peut entraîner un dysfonctionnement de la passerelle SGD Gateway.

Le fichier de configuration du proxy de routage par défaut utilise le mot de passe indiqué dans le fichier /opt/SUNWsgdg/etc/password pour accéder aux keystores utilisés par la passerelle SGD Gateway. Si vous ne souhaitez pas enregistrer ce mot de passe sur disque, prenez note de la valeur du mot de passe. Ensuite, supprimez le fichier de mot de passe, ainsi que les entrées password de tous les éléments <keystore> figurant dans le fichier gateway.xml. Au prochain démarrage de la passerelle SGD Gateway, vous devrez donc saisir le mot de passe du keystore.

Pour modifier le mot de passe d'un keystore utilisé par la passerelle SGD Gateway, utilisez l'option -storepasswd de la commande keytool. Par exemple, pour modifier le mot de passe du keystore keystore.client, exécutez la commande suivante :

# /opt/SUNWsgdg/java/default/bin/keytool -storepasswd \
-keystore /opt/SUNWsgdg/proxy/etc/keystore.client 

Reportez-vous à la documentation relative aux outils et utilitaires JDK pour plus d'informations sur le fonctionnement de l'application keytool.

Note

Le répertoire /opt/SUNWsgdg/etc contient également des fichiers de type .xml et .template. Ces fichiers sont utilisés en interne par la commande gateway config pour mettre à jour le fichier gateway.xml. Il est fortement déconseillé de modifier ces fichiers manuellement.

A.2.4. Fichiers de configuration du serveur Web Apache

Les fichiers de configuration pour le serveur Web Apache configurés pour être utilisés avec la passerelle SGD Gateway se trouvent dans le répertoire /opt/SUNWsgdg/httpd/apache-version/conf.

Les fichiers de configuration situés dans ce répertoire permettent de configurer le fonctionnement du proxy inverse et l'équilibrage de charge pour le serveur Web Apache.

A.2.4.1. Configuration du fonctionnement du proxy inverse et de l'équilibrage de charge

Les fichiers permettant de configurer le fonctionnement du proxy inverse et l'équilibrage de charge sont situés dans le sous-répertoire extra/gateway. Ces fichiers sont activés par la directive Include suivante dans le fichier httpd.conf :

# SGD Reverse Proxy/Load Balance settings
Include conf/extra/gateway/httpd-gateway.conf

Le fichier httpd-gateway.conf configure le fonctionnement du proxy inverse et l'équilibrage de charge pour le serveur Web Apache. Les membres du groupe d'équilibrage de charge sont définis à l'aide d'une directive Include indiquée dans le fichier httpd-gateway.conf, comme suit :

<Proxy Balancer://mysgdservers/>
Include conf/extra/gateway/servers/*.conf
</Proxy>

Le répertoire extra/gateway/servers contient des fichiers de configuration pour chacun des serveurs Web SGD du groupe d'équilibrage de charge. Les fichiers de configuration sont nommés server-name.conf, server-name correspondant au nom de serveur utilisé dans la commande gateway server add. Reportez-vous à la Section B.12, « gateway server add » pour plus d'infos sur cette commande.

La passerelle SGD Gateway utilise un équilibrage de charge HTTP de type session persistante. Cela signifie que le proxy inverse Apache définit un cookie dans le navigateur du client qui permettra de rediriger systématiquement le navigateur vers le serveur Web SGD qui a été choisi par l'équilibrage de charge. Le cookie expire à la fin de la session utilisateur.

Les cookies des sessions persistantes sont activés par la directive Header add Set-Cookie indiquée dans le fichier httpd-gateway.conf, comme suit :

Header add Set-Cookie "BALANCEID=balanceworker.%{BALANCER_WORKER_ROUTE}e; path=/" \
env=BALANCER_ROUTE_CHANGED

BALANCEID correspondant au nom du cookie, et BALANCER_WORKER_ROUTE et BALANCER_ROUTE_CHANGED à des variables d'environnement exportées par le module mod_proxy_balancer d'Apache. Reportez-vous à la documentation relative au module mod_proxy_balancer d'Apache pour plus d'informations sur ces variables d'environnement.

A.2.5. Modules Apache utilisés par la passerelle SGD Gateway

Le serveur Web Apache fourni avec la passerelle SGD Gateway utilise les modules Apache standard pour les opérations de proxy inverse et d'équilibrage de charge. Les modules sont installés en tant que modules DSO (Dynamic Shared Object).

Les modules sont activés par les directives LoadModule du fichier de configuration Apache httpd.conf, à l'adresse /opt/SUNWsgdg/httpd/apache-version/conf/httpd.conf.