Sichere Kommunikation zwischen Dispatcher und CQ

Suchen

Problem

Wie konfiguriere ich den Dispatcher, damit er sich über HTTPS und nicht über HTTP mit CQ verbindet?

Lösung

Um die HTTPS-Kommunikation zwischen Dispatcher und CQ zu ermöglichen, gehen Sie wie folgt vor:

  1. Aktivieren Sie in der CQ-Servlet-Engine die Unterstützung von HTTPS.
  2. Verbinden Sie Stunnel mit dem CQ'HTTPS Port.
  3. Konfigurieren Sie den Dispatcher so, dass eine Verbindung zu Stunnel hergestellt wird, anstatt eine direkte Verbindung zu CQ einzurichten.

Hinweis: Diese Instruktionen gelten nur für einen Apache Web-Server basierten Dispatcher, der auf Linux eingerichtet wurde.

Diese Anweisungen setzen voraus, dass Ihr Dispatcher auf Redhat Linux eingerichtet ist und dass Sie den Apache 2.2 Webserver verwenden.

Aktivieren Sie HTTPS in CQ5 (CQ5.1 - CQ5.4)

  1. (Auf dem CQ5-Beispiel-Server) Verwenden Sie das Java-Keytool, um ein selbst signiertes Zertifikats-Keystore zu generieren. Führen Sie anschließend den folgenden Keytool-Befehl unter dem Adressenverzeichnis „crx-quickstart/server/etc/“ aus. Wenn Sie den Befehl ausführen, richten Sie das Kennwort im Storepass auf ein Kennwort Ihrer Wahl ein.
    keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
  2. Mit diesem Befehl wird eine Datei mit dem Namen „keystore.jks“ erstellt. Wenn Sie den Befehl nicht aus dem Ordner „crx-quickstart/server/etc/“ ausgeführt haben, kopieren Sie die Datei „keystore.jks“ jetzt in diesen Ordner.
    • Wenn Sie über SSL-Zertifikate verfügen, importieren Sie diese mithilfe von Keytool in Java VM.
  3. Fügen Sie nach dem </listener> Tag die folgende XML in Ihre crx-quickstart/server/etc/server.xml Datei ein. Legen Sie die Passwörter in der Konfiguration unten so fest, damit sie mit denen aus Schritt 1 übereinstimmen.
    <!--
    Der Port, über den sichere Verbindungen empfangen werden, 443 ist
    der Standard-Port HTTPS.
    -->
    <bind-port>8889</bind-port>

    <!--
    Das <ssl> Element ermöglicht SSL/TLS und konfiguriert sie.
    -->
    <ssl>
    <!--
    Das Sicherheitsprotokoll, das verwendet werden soll. Dies sind im Allgemeinen
    „SSL“, „SSLv3“, „TLS“ und „TLSv1“.
    Default: "SSL"
    -->
    <protocol>SSL</protocol>

    <!--
    Zeigt die Eigenschaften wie den Ort des
    Keystores an, der die Serverschlüssel enthält.
    -->
    <key-store>

    <!--
    Der Authentifizierungs-Algorithmus, der verwendet wird. Der
    Standardwert ist für die Sun JSSE
    Implementation geeignet. Spezifizieren Sie nur all das,
    was vom verwendeten JSSE-Provider unterstützt wird.
    Standard: "SunX509"
    -->
    <!-- <algorithm>SunX509</algorithm> -->

    <!--
    Die Art des Keystores wird durch das
    <name> Element identifiziert. Sun's JSSE/JCE implementations
    support "JKS", "JCEKS", and "PKCS12"
    Default: "JKS"
    -->
    <!-- <type>JKS</type> -->

    <!--
    Der Ort der Keystore-Datei. Wenn der Name
    ein relativer Pfad ist, ist er relativ zum Servlet
    Engine-Start-Verzeichnis.
    Standard: „Keystore“-Datei im Basisverzeichnis
    des Benutzers.
    -->
    <name>etc/keystore.jks</name>

    <!--
    Die Passphrase für den Zugriff auf Keystore.
    Standard: ""
    -->
    <passphrase>password</passphrase>
    </key-store>

    <!--
    Spezifizieren Sie den (kurzen) Namen des Schlüsselpaares, das verwendet
    werden soll, um über diesen Port zu empfangen.
    -->
    <key>
    <!--
    Der kurze Name des Schlüsselpaar-Eintrags
    Standard: "mykey"
    -->
    <alias>self-signed</alias>
    <!--
    Das Kennwort für den Zugriff auf das Schlüsselpaar:
    Default: ""
    -->
    <password>password</password>
    </key>
    </ssl>
    <max-threads>128</max-threads>
    </listener>
  4. Starten Sie CQ5 neu
  5. Konfiguration testen, indem Sie https://hostname:8889/ aufrufen.

Aktivieren Sie HTTPS in CQ5 (CQ5.5, CQ5.6)

Hier in den offiziellen Unterlagen finden Sie Instruktionen.

Aktivieren Sie auf dem Dispatcher-Server Stunnel.

  1. (Auf dem Dispatcher-Server) geben Sie die folgenden Befehle ein, um Stunnel zu aktivieren:
    sudo /sbin/chkconfig --add Stunnel

    Sofern Sie ein anderes Betriebssystem verwenden, dann nutzen Sie den Paketmanager des Betriebssystems, um Stunnel herunterzuladen oder Sie laden es von der Website http://www.stunnel.org herunter. Dann installieren und konfigurieren Sie es so, dass es mit dem Betriebssystem startet.
  2. Öffnen Sie für die Bearbeitung etc/stunnel/stunnel.conf, indem Sie den Befehl
    sudo vi /etc/stunnel/stunnel.conf eingeben.
  3. In stunnel.conf set:
    client = yes
  4. Fügen Sie Folgendes zur stunnel.conf hinzu (ersetzt den Port der CQ5-Instanz)
    accept = 8081
    connect = :8889
  5. Starten Sie Stunnel.

Konfigurieren Sie den CQ-Dispatcher, damit er auf den Stunnel-Port und nicht auf die öffentliche Instanz verweist.

  1. Konfigurieren Sie die /renders Sektion in der dispatcher.any Datei neu, damit sie auf den 127.0.0.1 Port 8081 und nicht auf das Ziel der CQ5-Instanz verweist. Klicken Sie hier, um sich die Dokumentation über die Sektion des dispatcher.any anzusehen.
  2. Starten Sie Apache neu und überprüfen Sie, ob der Dispatcher immer noch funktioniert, wenn Sie Stunnel verwenden.
Hinweis:

Dispatcher ab Version 4.1.3 und höher und mit SSL-Unterstützung sind nicht mehr auf Stunnel angewiesen. Verwenden Sie das Distributions-Paket, das ein „SSL“ in seinem Namen aufweist. Bei den Beispielen wird dasselbe Distributions-Paket wie bei [1] verwendet.  

Im Folgenden finden Sie weitere allgemeine Konfigurationsschritte. Weitere Informationen finden Sie in den Versionshinweisen für den Dispatcher.

  • Aktivieren Sie in AEM die Unterstützung von HTTPS.
  • Stellen Sie sicher, dass OpenSSL v0.9.8 und ältere Versionen installiert sind.
  • Konfigurieren Sie den sicheren Port und fügen Sie der Wiedergabe-Sektion in dispatcher.any eine sichere Konfiguration hinzu. Beispiel

             /rend01
{
/hostname "10.60.183.34"
/port "9443"
/secure "1"
}

  • Ändern Sie die HTTP-Verzeichnis-Überschrift, falls der Webserver und das Backend-Protokoll (http/https) nicht übereinstimmen.

[1]

dispatcher-apache2.0-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.0-linux-i686-ssl-4.1.5.tar.gz
dispatcher-apache2.2-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.0-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.4-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.0-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.4-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x64-ssl-4.1.5.zip
dispatcher-apache2.2-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-i686-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-ns-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-solaris-sparc-ssl-4.1.5.tar.gz

Gilt für

CQSE 4.x, Granite.

Adobe-Logo

Bei Ihrem Konto anmelden

Hilfreiche Links

Alle Ihre Abos anzeigen Abos verwalten

Rechtliche Hinweise    |    Online-Datenschutzrichtlinie