Hoe activeer je proxyserver ondersteuning voor MKG?

Voor het gebruik van een uitgaande proxyserver binnen MKG is het van belang te begrijpen wat de rol van een proxyserver is in de netwerkarchitectuur. Een uitgaande proxyserver fungeert als tussenlaag tussen de MKG-omgeving en externe diensten of systemen. Verkeer dat vanuit MKG naar buiten gaat, zoals API-verzoeken of documentopslag, wordt eerst via deze proxy geleid. Dit biedt voordelen op het gebied van beveiliging, controle en beheer.

Toepassingen van een uitgaande proxyserver:

• Beveiliging en filtering. Uitgaand verkeer kan worden gecontroleerd en gefilterd, waardoor ongewenste of risicovolle communicatie wordt voorkomen.
• Logging en monitoring. Alle uitgaande verzoeken kunnen worden vastgelegd voor analyse en auditing.
• Authenticatie en toegangsbeheer. Verkeer kan worden beperkt tot geautoriseerde gebruikers of applicaties.
• Netwerkbeheer. Verkeer kan worden gerouteerd of geprioriteerd op basis van beleidsregels.

Vereisten

1. Er dient een proxyserver beschikbaar te zijn die uitgaand verkeer richting externe systemen of diensten kan afhandelen.

2. De proxyserver moet HTTPS-verkeer kunnen verwerken op de volgende poorten:

3. De proxyserver moet bereikbaar zijn vanaf de server waar MKG/Progress® op geïnstalleerd is alsook op de werkplekken waarop MKG wordt gebruikt. Bereikbaarheid dient bij voorkeur te verlopen via een FQDN (Fully Qualified Domain Name). Indien dit niet mogelijk is, kan een vast IP-adres worden toegepast.

4. De proxyserver is bij voorkeur voorzien van een geldig SSL-certificaat, uitgegeven door een vertrouwde certificeringsautoriteit. Hoewel dit niet verplicht is, draagt het bij aan de betrouwbaarheid en veiligheid van de communicatie.

5. De inrichting van de proxyserver moet stabiel en consistent zijn. Wijzigingen in configuratie of bereikbaarheid kunnen directe impact hebben op de werking van gekoppelde functionaliteiten binnen MKG.

Initiële MKG-installatie

De initiële installatie van MKG wordt doorgaans door MKG Nederland B.V. zelf verzorgd. Indien tijdens deze installatie al bekend is dat uitgaand verkeer via een proxyserver dient te verlopen, wordt dit direct meegenomen in de inrichting. Dit voorkomt dat later ingrijpende wijzigingen nodig zijn in de netwerkstructuur of applicatieconfiguratie. Tijdens de installatie wordt gecontroleerd of:

• de proxyserver bereikbaar is vanaf de MKG-server en werkplekken;
• de benodigde poorten beschikbaar zijn voor uitgaand verkeer;
• eventuele authenticatiegegevens en certificaten beschikbaar zijn.

Proxyconfiguratie

Tijdens de installatie van MKG kan in de installatiewizard, onder het onderdeel ‘Proxy settings’, de benodigde configuratie voor proxyondersteuning worden opgegeven. Indien deze instellingen worden ingevuld, zal de installatie zelf ook gebruikmaken van de proxyserver voor uitgaande connecties.

De proxyconfiguratie wordt hiermee automatisch doorgevoerd voor zowel de MKG-server als de werkplekken waarop MKG wordt gebruikt.

Bestaande MKG-installatie

Indien MKG reeds operationeel is en er achteraf gekozen wordt voor het gebruik van een proxyserver, dient deze wijziging zorgvuldig en bij voorkeur in samenspraak met MKG Nederland B.V. te worden doorgevoerd. Dit om verstoring van bestaande koppelingen en functionaliteiten te voorkomen. Bij een wijziging in een bestaande situatie:

• wordt de bereikbaarheid van de proxyserver gecontroleerd;
• wordt de netwerkconfiguratie aangepast, zodat uitgaand verkeer via de proxy verloopt;
• worden de proxyinstellingen geconfigureerd binnen MKG;
• wordt de werking van gekoppelde functionaliteiten getest.

Stap 1: Voeg parameters toe

Ga naar het bestand d:\apps\mkg\appserversetting.pf (NB: bestandspaden kunnen afwijken) en open deze met een teksteditor naar keuze. Voeg de volgende parameters toe:

• -proxyhost proxy.mkg.eu
• -proxyport 3128
• -proxyuser optional
• -proxypassword optional

Wanneer er geen authenticatie verplicht is, dienen de parameters ‘-proxyuser’ en ‘-proxypassword’ in zijn geheel weggelaten te worden.

Voer deze wijziging ook uit voor het bestand appserversettingsoefen.pf.

Stap 2: Herstart de server

Voer een herstart uit de van de service ‘MKG Application Server’ om de nieuwe configuratie te effecturen.

Aanvullende configuratie bij gebruik van SSL

MKG is gebouwd op een Progress-architectuur, waarbij de onderliggende laag verantwoordelijk is voor de verwerking van systeemcommunicatie, waaronder netwerkverkeer en certificaatvalidatie. Bij het gebruik van een proxyserver met SSL-certificaat is het daarom noodzakelijk dat het rootcertificaat van de uitgevende partij correct wordt geregistreerd binnen deze Progress-laag, zodat uitgaande HTTPS-verkeer betrouwbaar en veilig kan worden afgehandeld.

Stap 1: Verkrijg het rootcertificaat

Verkrijg het rootcertificaat van de certificeringsautoriteit in PEM-formaat. Controleer of het bestand begint met ‘-----BEGIN CERTIFICATE-----’ en eindigt met ‘-----END CERTIFICATE----- ‘.

Stap 2: Plaats het rootcertificaat

Plaats het rootcertificaatbestand in de folder d:\mkg_tmp\ (NB. Bestandspaden kunnen afwijken) en hernoem deze naar ‘root.cer’.

Stap 3: Open een proenv-sessie

Open een proenv-sessie (%dlc%\bin\proenv.bat) en geef de volgende commando’s in:

• prompt
• cd d:\mkg_tmp
• certutil -import root.cer

Het rootcertificaat is met bovenstaande stap geïmporteerd in de trusted store van de Progress-installatie op serverniveau. Noteer de weergegeven alias name (in dit voorbeeld: 607986c7) voor de volgende stap.

Stap 4: Voeg het certificaat toe aan werkplekken

Op de werkplekken waar de MKG desktop client wordt gebruikt dient het certificaat ook te worden toegevoegd aan de trusted store. Ga hiervoor naar d:\apps\dlcXXX\certs en kopieer het bestand dat met de bovenstaande stap is aangemaakt (in dit voorbeeld: 607986c7) en plaats deze in de folder d:\apps\mkg\client\dlc\certs\.

Stap 5: Voer de client setup opnieuw uit

Voer op werkplekniveau de MKG client setup opnieuw uit om de nieuwe configuratie te effecturen.