Nella parte precedente dell’articolo abbiamo visto come creare un virtual host Apache utilizzando il moduli mod_proxy, mod_rewrite e mod_ssl per creare un reverse-proxy https riscrivendo l’URL OWA di Exchange 2007. Se lasciassimo la configurazione cosi’, gli utenti, per raggiungere l’applicazione attraverso il reverse-proxy, dovrebbero digitare https://webmail.dominio.it, ma saranno pero’ condizionati alla scrittura del prefisso https://.
Con un po’ di pazienza e qualche altra riga di codice, potremmo semplificare ulteriormente.
Ecco come fare:

Questo virtual host si limita soltanto a redirigere permanentemente cio’ che arriva sulla porta 80 del reverse-proxy (http://webmail.dominio.it) sulla porta 443 (https://webmail.dominio.it) senza apportare nessuna modifica. Non e’ sicuramente fondamentale ai fini del risultato ricercato, ma si tratta di una piccola “finezza” che permettera’ agli utenti di raggiungere l’applicazione OWA semplicemente digitando webmail.dominio.it.

In questo articolo, vedremo come esporre su internet OWA (Outlook Web Access) in modo sicuro traslando l’URL http con indirizzo privato in un URL https con indirizzo pubblico utilizzando alcune funzionalita’ messe a disposizione da Apache tramite i moduli mod_proxy mod_rewrite e mod_ssl.

Il modulo mod_proxy permette di effettuare relay e caching di richieste provenienti da vari host verso altri host mantenendo questi logicamente separati.
E’ praticamente uno step intermedio fra i client e il server remoto, in modo da non consentire il passaggio diretto delle informazioni, ma sia il proxy a gestire la comunicazione fra le parti.
Puo’ essere utilizzato in modalita’ FORWARD e REVERSE, proprio come se fosse un imbuto.
Nel primo caso il proxy raccoglie le richieste dei client da tutta una LAN e le redirige verso internet (forward), il secondo caso e’ esattamente opposto, il proxy raccoglie le richieste da internet e le redirige su un server della LAN (reverse).

Il modulo mod_rewrite permette di riscrivere un URL in un altro senza che l’utente ne sia a conoscenza. L’associazione avviene al “volo” tramite regole definite nel file di configurazione e/o virtualhosts oppure nel file .htaccess. Questo tipo di riscrittura apre a numerose possibilita’ per “ripulire” un URL e renderlo quindi piu’ semplice per l’utente.
Molti avranno sperimentato che, in particolar modo, con l’uso di CMS (Content Management System) il server produce URL simili a:

sicuramente non semplice da digitare, ma utilizzando la riscrittura la si puo’ rendere:

decisamente meglio, vero?

Il modulo mod_ssl è il modulo per la gestione del protocollo HTTPS in Apache, basato su OpenSSL capace di supportare i protocolli Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), un tempo sviluppato come “patch” del codice sorgente, oggi modulo cardine della sicurezza.

Non resta che unire queste funzionalita’ in due virtualhost di Apache per ottentere il risultato desiderato.
Dato per assunto che abbiate installato Apache con i moduli richiesti su un server Linux questa e’ la configurazione da fare:

Nella configurazione appena vista deve essere inserito l’indirizzo IP privato del vostro server reverse proxy (nell’esempio 172.18.27.7) su cui sara’ effettuato il NAT (se utilizzate questa tecnica), altrimenti se utilizzate una rete disaccoppiata (server con un indirizzo privato ed un indirizzo pubblico) sara’ necessario creare due virtual host (identici) con gli indirizzi IP (Publico e Privato) del vostro server reverse proxy, “aa.bb.cc.dd” deve essere sostituito con quello del vostro server Exchange e il certificato di crittografia deve essere esportato dal server Exchange 2007 e convertito in formato Apache (per informazioni Esportare un certificato SSL da IIS per utilizzarlo in Apache).

Nella prossima parte dell’articolo ci occuperemo di creare il virtual host http che sara’ rediretto sul virtual host https appena visto.

In alcuni casi, puo’ essere necessario utilizzare lo stesso certificato SSL su un server Microsoft IIS e su un server Apache.
E’ possibile esportare un certificato SSL da IIS per utilizzarlo in ambiente Apache.
Ecco come fare:

1. Sul server Windows con IIS aprire una Microsoft Management Console (mmc.exe), aggiungere lo snap-in Certificates e selezionare Account Computer e Local Computer.

2. Cercare il certificato che si intende esportare e selezionando All Tasks > Export, avendo cura di esportare anche la chiave privata, inserendo una password alla richiesta.

3. Prendere il file formato pfx appena generato e spostarlo su una macchina Unix/Linux in cui e’ installato OpenSSL e digitare:

4. Il file formato PKCS12 non e’ altro che la concatenazione del certificato e della chiave privata che dovrete separare in due file con estensione .crt (certificato) e .key (chiave privata).

5. Per eliminare la password inserita durante l’esportazione (utile in ambienti di produzione in cui Apache deve avviarsi in modalita’ non assistita) digitare:

I file cosi’ ottenuti sono perfettamente compatibili in ambiente Apache.

Sturgis è una cittadina degli Stati Uniti d’America, capoluogo della Contea di Meade nello stato del sud Dakota a 30 miglia da Rapid City.
Conta poco piu’ di 6.700 abitanti, ma ogni anno ad agosto si toccano oltre 500.000 visitatori: un vero e proprio record, se si pensa che in tutto lo stato risiedono circa 782.000 abitanti.
Ad attirare cosi tanta gente e’ “The Sturgis Motorcycle Rally”, un classico per gli appassionati delle due ruote a stelle e strisce.
Nato nel 1937 grazie a Clarence “Pappy” Hoel, un commerciante di moto “Indian” e al presidente dell’AMA Motorcycle Club Jackpine Gypsies, i quali organizzarono un rally conosciuto come “Black Hill Motor Classic” che prevedeva il tour del Mount Rushmore (Black Hills).
La prima edizione vide l’adesione di 50 partecipanti e di almeno 800 spettatori, ma col passare degli anni vennero aggiunti altri eventi e tour che portarono, nel 1964, alla decisione di chiudere la “Main Street” per 3 giorni consecutivi. Nel 1965 il rally duro’ 5 giorni consecutivi fino ad arrivare agli attuali 7 nel 1975.
Verso la fine degli anni 80 l’evento riusci’ a coinvolgere centinaia di venditori e divenne cosi importante per la piccola cittadina, che cambio’ nome in “The Sturgis Motorcycle Rally“.
Quest’anno la manifestazione festeggia la sua 68esima edizione e oltre al rally ufficiale (il tour delle Black Hills) comprende una serie di eventi a partire dalle sei del mattino sino a tarda notte che comprendono gare, concerti, banchetti, esibizioni e spettacoli. (es. la presenza dei KISS).
Vi assicuro che essere li’, dove eta’, razza ed estrazione sociale non contano, sentire il rombo dei motori, l’odore di benzina, dei gas di scarico che uniscono migliaia di persone in una sola passione e’ un’emozione davvero unica, un’esperienza entusiasmante che io e Greta vorremmo ripetere il prossimo anno, non solo da spettatori, ma da partecipanti in sella ad una leggendaria Harley Davidson.

IO C’ERO!!!

Per ulteriori informazioni:
sito ufficiale: www.sturgis.com
blog ufficiale: www.sturgismotorcyclerally.com
sito Harley Davidson: www.harley-davidson.com