DMZ에 웹서버 설치 후 /etc/httpd/conf/httpd.conf 파일에 아래 내용 추가 ``` # 리버스 프록시가 동작할 가상호스트(예: DMZ Apache) 설정 ServerName [중계 서버 도메인] # 클라이언트가 접속할 공개 도메인 (예: otp.pola.or.kr) SSLEngine on # HTTPS(SSL/TLS) 통신 활성화 SSLCertificateFile cert.pem # 서버 인증서 파일 (공인인증서) SSLCertificateKeyFile key.pem # 인증서 개인키 파일 SSLCertifivateChainFile DigiCertCA.pem # CA 인증서 체인 파일 SSLProxyEngine On # Apache가 프록시하면서도 HTTPS 백엔드로 통신할 수 있도록 SSL 프록시 기능 활성화 ProxyRequests Off # Forward Proxy 기능 비활성화 (리버스 프록시 전용으로 동작) ProxyTimeout 120 # 프록시 요청 타임아웃(초 단위) ProxyPreserveHost Off # 원본 요청의 Host 헤더를 유지하지 않음 (내부 서버로 넘길 때 도메인 바꿔서 보냄) # /sln/user/ 경로로 들어온 요청을 내부 Apache(또는 WAS)로 전달 ProxyPass /sln/user/ [받을 도메인]/sln/user/ # 요청에 대한 응답 헤더의 Location, Set-Cookie 등에서 내부 도메인을 외부 도메인으로 다시 변환 ProxyPassReverse /sln/user/ [받을 도메인]/sln/user/ ```

김선호 25.11.04 2534 0

지식 공유

폐쇄망에서 웹서버(Apache) 구성하기

## Docker OS 컨테이너 준비 1. 이미지를 받는다. [rocky linux 8.10] docker pull rockylinux/rockylinux:8.10 2. 편하게 작업 할 컨테이너를 하나 띄우고 쉘로 접근한다. docker run -it --name rocky-localrepo rockylinux/rockylinux:8.10 /bin/bash ## 어떤 패키지를 오프라인에서 설치하게 만들지 정한다. 우리가 미리 받아오는 RPM 목록이 곧 그쪽이 쓸 수 있는 설치 가능 목록이 된다. 예시로 httpd, mod\_ssl, php, openssl, vim, 이런 식으로 결정한다고 하자. 참고로 Rocky Linux에서 의존성까지 같이 받아오려면 dnf download를 쓴다. 1. 필요한 유틸 설치 dnf install -y dnf-plugins-core createrepo tar * dnf-plugins-core 안에 dnf download 들어있다. * createrepo는 로컬 리포지토리 메타데이터 만드는 툴. * tar는 마지막에 묶어서 전달 2. RPM들을 모아 둘 디렉토리 생성 mkdir -p /repo/base cd /repo/base 3. 의존성 가져오기 dnf download --resolve httpd * --resolve를 붙이면 httpd가 필요로 하는 의존 라이브러리까지 전부 rpm 파일로 같이 떨어진다. 원하는 다른 패키지도 계속 추가로 긁어올 수 있다. * dnf download --resolve mod\_ssl * dnf download --resolve php * dnf download --resolve openssl * dnf download --resolve vim-enhanced ## 핵심 요약 1. Windows에서: * docker run -it rockylinux:8.10 * 컨테이너 안에서 dnf install -y dnf-plugins-core createrepo tar * /repo/base 폴더 만들고 dnf download --resolve * createrepo /repo/base * /repo/local-httpd.repo 만들어두기 * tar czvf /repo\_bundle.tgz /repo * docker cp로 호스트로 꺼냄 2. 폐쇄망 Rocky 서버에서: * /opt/localrepo 에 압축 풀기 * /etc/yum.repos.d/ 에 .repo 복사 * dnf install 테스트 # 리버스 프록시 설정 ### httpd.conf LoadModule proxy\_module modules/mod\_proxy.so LoadModule proxy\_http\_module modules/mod\_proxy\_http.so LoadModule ssl\_module modules/mod\_ssl.so ServerName otp.pola.or.kr ``` SSLEngine on SSLCertificateFile /path/to/otp.pola.or.kr.crt SSLCertificateKeyFile /path/to/otp.pola.or.kr.key SSLCertificateChainFile /path/to/chain.pem # ↑ DMZ 웹서버가 직접 HTTPS를 종료(terminate)해야 하니까 인증서는 DMZ에 있어야 해 # 클라이언트가 /sln/... 으로 들어온 요청을 내부망 sso.pola.or.kr로 프록시 ProxyPreserveHost On ProxyPass /sln/ https://sso.pola.or.kr/sln/ ProxyPassReverse /sln/ https://sso.pola.or.kr/sln/ # (선택) 특정 URI만 보낼 수도 있음. 예: /sln/pola/user/regist/step 만 # ProxyPass /sln/pola/user/regist/step https://sso.pola.or.kr/sln/pola/user/regist/step # ProxyPassReverse /sln/pola/user/regist/step https://sso.pola.or.kr/sln/pola/user/regist/step # 보안 헤더 같은 것도 보통 여기서 달아줌 RequestHeader set X-Forwarded-Proto "https" RequestHeader set X-Forwarded-For %{REMOTE_ADDR}s RequestHeader set X-Forwarded-Host %{HOST}s ```

김선호 25.10.31 2694 0

지식 공유

암호화 알고리즘 관련 내용 정리

| 알고리즘 | 방식 | 특징 | | ---- | --- | --- | | **AES (Advanced Encryption Standard)** | 대칭키 블록 암호 | 구간암호화에서 가장 많이 사용됨 (빠르고 안전) | | **ARIA** (국산 표준) | 대칭키 블록 암호 | 공공기관/국산 솔루션에서 선호 | | **SEED** | 대칭키 블록 암호 | 한국인터넷진흥원(KISA) 표준 | | **RSA** | 비대칭키 | 구간암호화보다는 키교환·인증용에 주로 사용 | | **SHA256** | 해시 | 복호화 불필요한 데이터(비밀번호 등)에 사용 |

김선호 25.10.30 2496 0

자유

게시글

- 마크다운 - 음.. **ㅇㅇ** # This is a H1 ## This is a H2 ### This is a H3 #### This is a H4 ##### This is a H5 ###### This is a H6 # aadada ## fddf * df + fsd + fd + f - f - f - f -

상옥 25.10.30 2637 0

지식 공유

WEB(Apache) WAS(Tomcat) Reserve Proxy 방식 연동하기

## 기본 개념 1. 사용자는 https://example.com (80/443, Apache로 진입) 2. Apache가 받아서 내부의 Tomcat으로 대신 요청을 보내줌 (http://127.0.0.1:8080) 3. Apache는 Tomcat 응답을 다시 클라이언트에게 전달 *** ## Tomcat 준비 conf/server.xml안에 설정 ``` ``` ## Apache httpd 모듈 켜기 리눅스 계열(예: Rocky/Ubuntu 등)은 보통 /etc/httpd 또는 /etc/apache2 아래 있고, 윈도우면 Apache24/conf/httpd.conf 안에 모듈 로드하는 라인이 있다. ``` LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule headers_module modules/mod_headers.so ``` mod\_headers는 나중에 Server 헤더 같은 거 숨길 때 쓸 거라 같이 켜두는 게 좋다. ## Apache 가상호스트(or httpd.conf)에 Reserve Proxy 설정 이제 Apache에게 "들어온 요청 그냥 Tomcat:8080으로 보내라" 라고 알려주면 끝. HTTP만 (80포트)인 경우 예시 아파치 설정 파일 어딘가(VirtualHost 블록) 혹은 그냥 httpd.conf에 아래 설정 추가 ``` ServerName mysite.local # 외부에서 접속할 도메인/호스트명 (없어도 돌아가긴 함) # 클라이언트 -> Apache -> Tomcat ProxyPass / http://127.0.0.1:8080/ ProxyPassReverse / http://127.0.0.1:8080/ # (선택) Tomcat 서버 정보 숨기기 Header unset Server Header unset X-Powered-By # (선택) 정적 파일은 Apache가 직접 서빙하고 싶으면 이런 식으로 location(Directory) 따로 줄 수도 있음 # Alias /static/ "D:/web/static/" ``` 이렇게 하면: - 사용자가 http://mysite.local/board/list 로 접근 - Apache가 내부적으로 http://127.0.0.1:8080/board/list 로 요청 넘김 - 응답을 그대로 돌려줌 HTTPS까지 (443포트, SSL 인증서 Apache에 적용) 하는 경우 ``` ServerName mysite.local SSLEngine on SSLCertificateFile "C:/Apache24/conf/ssl/mysite.crt" SSLCertificateKeyFile "C:/Apache24/conf/ssl/mysite.key" # 필요하면 중간체(체인) cert도 SSLCertificateChainFile 등으로 설정 ProxyPass / http://127.0.0.1:8080/ ProxyPassReverse / http://127.0.0.1:8080/ Header unset Server Header unset X-Powered-By ``` ## Apache 재시작 리눅스 (RHEL/Rocky/CentOS 계열 예): ``` sudo systemctl restart httpd ``` Ubuntu 계열은: ``` sudo systemctl restart apache2 ```

김선호 25.10.30 1546 0