WebGateway系列(4): 配置HTTPS访问IRIS的Web服务

文章

Hao Ma · 四月 29, 2021 阅读大约需 3 分钟

经常被问到有关IRIS如何支持SSL，HTTPS的问题，有必要写个东西介绍一下。

HTTPS的原理

简单的说，https实现两个目的：一是访问网站加密，2是确认被访问的网站是真的。

首先，被访问的网站要申请一个证书，这个证书必须是权威机构发放的，比如google, VeriSign等等,所有的浏览器里有预装了这些组织的公钥(Public Key),因此能确认你提供的证书真是这些组织给出的，而这个证书可以证明你的网站的身份。注意证书证明的是提供服务的组织和服务的真实性，和用什么设备没关系，也就是说，IRIS不管证书的事儿。

接下去，被访问的服务器可以生成公钥和私钥，和客户端交换key，生成整个世界只有两者知道的security code，用来两者之间数据的交换。详细的过程和消息交互可以在网上找到很多很好的文章和视频，比如这个: How does HTTPS work? What's a CA? What's a self-signed Certificate?。

如果是测试环境或者使用者可以控制的内部网络，self-signed证书非常常用。self-signed证书就是不去花钱找人认证，而是告诉客户端，我这个证书是自己认证的，你知道我这台机器试内网的一个机器，不用权威机构证明我服务器的身份，咱们交换一下钥匙把通信加密了吧。操作系统,各种Web服务器都提供这样的假证书，可以用于测试。浏览器访问这样的网站时会提醒用户这个网站不安全，客户需要确认继续访问。

IRIS的https访问

如果要访问的是IRIS上的http服务或者页面，需要做的是在连接IRIS的Web服务器配置SSL/TLS。有关IRIS和IRIS WebGateway的介绍，请查看这个系列前面的文章。

不需要在IRIS或者IRIS Gateway做任何配置。在IRIS文档里有各种有关SSL/TLS的内容，除非你要开发一个TCP层的使用SSL/TLS的应用或者IRIS作为客户端访问其他HTTPS的服务，你根本不用阅读。

下面简单介绍配置Apache Web服务器简单实现IRIS管理页面的HTTPS访问的步骤。

1.apache Web服务器安装SSL.

如果你的Apache没有安装过SSL组件,运行下面命令安装

yum -y install mod_ssl

命令执行结束安装完成后，在/etc/httpd/modules目录会添加了mod_ssl.so，并且在/etc/httpd/conf.d 目录下会出现一个ssl.conf文件。

如果是Windows, 您需要下载使用Windows的Apache服务器，比如从这个页面：Apach2.4.46。按照说明，您需要将软件解压缩到一个目录，比如c:/Apache24，然后执行 "httpd -k install"安装。

并且，你要确保httpd.conf文件中下面两行没有被注释

LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf

访问https://WebServerIP，你会被浏览器提醒这不是个可信任的网站，是不是还要继续访问，确认后会看到Apache的测试页，访问是成功的。

2.到IRIS的WebGateway的连接。

我一般放在一个单独的配置文件里，在linux下是在./conf.d/isc.conf, 在Windows系统是在./extra/httpd-isc.conf。这个配置文件是要被include在httpd.conf里面。配置https并不需要修改这个配置文件。下面是在Windows下的httpd-isc.conf的配置示意。

  LoadModule csp_module_sa C:/InterSystems/WebGateway/CSPa24.dll 
    <Location "/csp/bin/Systems/"> 
    SetHandler csp-handler-sa 
    </Location> 
    <Location "/csp/bin/RunTime/"> 
    SetHandler csp-handler-sa 
    </Location> 
    CSPFileTypes * 
    Alias /csp/ c:/InterSystems/WebGateway/csp/ 
    <Directory "c:/InterSystems/WebGateway/csp"> 
        AllowOverride None 
        Options MultiViews FollowSymLinks ExecCGI 
        Require all granted
        <FilesMatch "\.(log|ini|pid|exe)$"> 
        Require all denied 
        </FilesMatch>
    </Directory>

这时您应该可以测试到IRIS管理页面的HTTPS访问了。

3. 获得证书并添加到Web服务器。

这步是可选的。面向公众服务的Web服务通常会购物证书, 而内部服务个个客户的网络中会有相关的CA的处理方式，相应的如何修改Apache服务器的配置请自行查看文档。

五一节快乐