7.10 Accesso a Host Access for the Cloud mediante il proxy inverso IIS

In questa sezione viene descritto come utilizzare il proxy inverso IIS con Host Access for the Cloud. Per rispettare la conformità con i requisiti di sicurezza Common Criteria, è necessario collocare il server Host Access for the Cloud dietro a un proxy nel modo seguente.

Prerequisiti

  • È richiesto Internet Information Services (IIS) 8.0 o versione successiva.

  • Il protocollo WebSockets IIS deve essere attivato. Vedere IIS 8.0 WebSocket Protocol Support per informazioni su come attivare il protocollo.

  • È richiesto IIS Application Request Routing (ARR) 3.0 o versione successiva.

  • Il modulo IIS URL Rewrite deve essere installato.

7.10.1 Configurazione del proxy inverso IIS per Host Access for the Cloud

Questo esempio illustra la configurazione di un server IIS con l'indirizzo IP 192.168.1.1 per creare un proxy per le connessioni al server di sessione Host Access for the Cloud all'indirizzo http://10.10.10.1:7070.

Configurazione di IIS

  1. Avviare Internet Information Services (IIS) Manager, passare al sito Web da utilizzare e aprire la funzione URL Rewrite.

  2. Scegliere l'azione Add Rule(s) e aggiungere la regola Proxy inverso.

  3. Per la regola in entrata, immettere l'indirizzo IP o il nome host e la porta del server Host Access for the Cloud. Ad esempio, se il server di sessione si trova nello stesso computer di IIS e utilizza la porta predefinita, immettere localhost:7443.

  4. Selezionare la regola in uscita Riscrivi i nomi dei domini e immettere il nome host o l'indirizzo IP del server nella casella A:

  5. Fare clic su OK per creare la nuova regola Proxy inverso.

Configurazione di Host Access for the Cloud

Per usare un proxy per le connessioni, il modulo IIS URL Rewrite deve ispezionare e riscrivere le pagine Web e le connessioni WebSocket che passano attraverso il proxy. Affinché la riscrittura venga completata, questi elementi devono essere inviati in forma non compressa. Notare che, se configurata, la compressione si verificherà comunque dal server IIS al browser del client. Il server di sessione deve essere configurato anche per consentire che le connessioni WebSocket abbiano origine dal proxy.

  1. Aprire container.properties in un editor di testo. Il percorso predefinito di questo file è: <directory installazione dir>/sessionserver/conf.

  2. Aggiungere le righe seguenti a container.properties:

    • websocket.compression.enable=false
    • server.compression.enabled=false
    • websocket.allowed.origins=http://<nome server IIS o indirizzo IP>. Ad esempio: 192.168.1.1.

    Salvare le modifiche al file. La proprietà Allowed Origins è un elenco di URL delimitato da virgole. Se client Web si connetteranno al sito Web utilizzando una connessione HTTPS, modificare l'URL di conseguenza. Se verranno utilizzate sia connessioni sicure che non sicure, utilizzare entrambi gli URL come valore: websocket.allowed.origins=http://192.168.1.1,https://192.168.1.1. Per evitare errori, verificare che tutti i possibili formati indirizzo siano inclusi nell'elenco Allowed Origins.

  3. Riavviare il sito Web, quindi riavviare il server di sessione e verificare il proxy connettendosi a: http(s)://192.168.1.1.

Risoluzione dei problemi

Se si ricevono errori dal server Web, attivare gli errori dettagliati può contribuire a diagnosticare il problema. In Gestione IIS Manager, aprire la funzione Pagine errori e selezionare Errori dettagliati:

Solitamente gli errori nell'intervallo 5XX sono causati da problemi di attivazione della compressione o errori nel valore Allowed Origins.

Se il proxy IIS si connette al server di sessione con HTTPS, il certificato utilizzato con il server di sessione deve essere considerato attendibile dal server IIS. Se il server di sessione utilizza un certificato firmato da se stessi, questo certificato deve essere aggiunto all'archivio attendibilità di Windows. Se il server di sessione utilizza un certificato firmato, il firmatario deve essere un'autorità di certificazione attendibile.