Moskito und TLS

Mapserver sicher im Internet oder Intranet betreiben

Heutzutage ist die Verwendung von verschlüsselten Verbindungen bei Webseiten eher die Regel als die Ausnahme. Und das ist auch gut so, da es die Sicherheit und den Datenschutz deutlich erhöht. Dies gilt natürlich auch für die Verwendung von Geodaten im Web.

Wie können wir Moskito GIS also mit Transport Layer Security (TLS), häufig auch als https bezeichnet, im Web betreiben? Moskito GIS ist in erster Linie ein leistungsfähiges und flexibles Geoinformationssystem. Es bietet einen integrierten Webserver, der beispielsweise Kartendaten als Web Map Service (WMS) oder Web Feature Service (WFS) zur Verfügung stellen kann. TLS ist aber (zurzeit) kein Bestandteil.
Das ist aber kein Problem. Viele andere Systeme implementieren TLS auch nicht selbst, sondern verlassen sich dabei auf Programme, die darauf spezialisiert sind. Der Fachbegriff dafür ist TLS offloading. Hierbei wird ein Webserver als Reverse Proxy eingesetzt, der Verbindungen vom Webbrowser (Client) annimmt und an den Server, in unserem Fall Moskito GIS, weiterleitet.

Webserver, die als Reverse Proxy TLS offloading unterstützen sind zum Beispiel Varnish, HAProxy, NGINX oder Apache HTTP Server. In Unternehmensumgebungen wird häufig der IIS (Internet Information Services) von Microsoft eingesetzt. Auch dieser kann für den gewünschten Zweck verwendet werden. Dafür sind allerdings noch ein paar Vorarbeiten notwendig.

Um den IIS überhaupt nutzen zu können, muss dieser als Serverrolle unter Windows installiert sein. Für die Verwendung als Reverse Proxy benötigt er zwei Erweiterungen, die zusätzlich installiert werden müssen:

Nachdem der IIS Dienst (neu) gestartet wurde, muss sichergestellt werden, dass bei den Einstellungen für das Application Request Routing die Proxy-Funktion aktiviert ist.

Anschließend legt man eine neue Site an. Dafür wählt man einen Namen, den Wurzelpfad für Webserver und unter Bindung den Typ https. Dort muss dann noch der Hostname eingetragen werden - in unserem Beispiel demo.moskito-gis.eu.

Für diesen Hostnamen muss ein Zertifikat ausgestellt und in Windows installiert worden sein. Dieses wählt man unter dem Punkt SSL-Zertifikat aus.

Abb. 1: Elementkonfiguration

Wenn beide oben erwähnten Module installiert sind, taucht auf der Konfigurationsseite unserer neuen Site im IIS der Punkt URL Rewrite auf.

Nach einem Doppelklick auf URL Rewrite erzeugt man eine neue Reverseproxy-Regel. Dort wird als Erstes das Ziel für die Weiterleitung, also der Moskito Server angegeben, z.B. localhost:8021. SSL-Abladung muss aktiviert sein und auch die HTTP-Antworten sollten umgeschrieben werden (siehe Bild).

Nachdem Sie den Dialog bestätigt haben, ist die Grundkonfiguration erledigt und Moskito ist über TLS erreichbar.

Newsarchiv