Communications sécurisées entre le répartiteur et le CQ

Problème

Comment configurer le Dispacher pour se connecter à CQ en utilisant HTTPS au lieu de HTTP ?

Solution

Pour activer la communication HTTPS entre le répartiteur et le CQ, procédez comme suit :

  1. Activez la prise en charge HTTPS dans le moteur de servlet CQ.
  2. Connectez Stunnel au port HTTPS de CQ.
  3. Configurez le répartiteur pour vous connecter à Stunnel au lieu de vous connecter directement à CQ.

Remarque : ces instructions s'appliquent uniquement à une configuration de Dispatcher basée sur Apache Web Server sous Linux.

Ces instructions supposent que votre Dispatcher est configuré sur redhat Linux et que vous utilisez le serveur Web Apache 2.2.

Activation des HTTPS dans CQ5 (CQ5.1- CQ5.4)

  1. (Sur le serveur d'instance CQ5) utilisez l'outil Java keytool pour générer une clé de certificat autosigné. Exécutez ensuite la commande keytool ci-dessous, sous le répertoire crx-quickstart/server/etc/. Lors de l’exécution de la commande, dans le paramètre -storepass, définissez le mot de passe de votre choix.
    keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
  2. Cette commande crée un fichier nommé keystore.jks. Si vous n’avez pas exécuté la commande depuis le répertoire crx-quickstart/server/etc/, copiez le fichier keystore.jks dans ce répertoire.
    • Si vous disposez de certificats SSL, importez-les dans votre Java VM à l’aide de keytool.
  3. Ajoutez le xml suivant après la balise </listener> dans votre fichier crx-quickstart/server/etc/server.xml. Définissez les mots de passe dans la configuration suivante pour les faire correspondre à ceux que vous avez définis à l'étape 1 ci-dessus.
    <!--
    Le port d'écoute des connexions sécurisées, 443 est
    le port standard pour HTTPS.
    -->
    <bind-port>8889</bind-port>

    <!--
    L'élément <ssl> active SSL / TLS et le configure
    -->
    <ssl>
    <!--
    Protocole de sécurité à utiliser. En règle générale :
    SSL, SSLv3, TLS ou TLSv1.
    Protocole par défaut : SSL
    -->
    <protocol>SSL</protocol>

    <!--
    Indiquez les propriétés telles que l'emplacement du
    fichier de clés contenant la clé des serveurs.
    -->
    <key-store>

    <!--
    Algorithme d'authentification à utiliser. La valeur par défaut
    est appropriée pour l'implémentation JSSE
    de Sun. N'indiquez que
    tout ce qui est pris en charge par le fournisseur JSSE utilisé.
    Valeur par défaut : "SunX509"
    -->
    <!-- <algorithm>SunX509</algorithm> -->

    <!--
    Type de fichier de clés identifié par l'élément
    <nom>. Les implémentations JSSE / JCE de Sun
    supportent "JKS", "JCEKS" et "PKCS12"
    Par défaut : "JKS"
    -->
    <!-- <type>JKS</type> -->

    <!--
    L'emplacement du fichier keystore. Si le nom
    est un chemin relatif, il est relatif au répertoire de démarrage du Servlet
    .
    Par défaut : le fichier « keystore » dans le répertoire personnel
    de l'utilisateur.
    -->
    <name>etc/keystore.jks</name>

    <!--
    Le mot de passe pour accéder à la clé.
    Default: ""
    -->
    <passphrase>password</passphrase>
    </key-store>

    <!--
    Spécifiez le nom (court) de la paire de clés à utiliser
    pour écouter sur ce port.
    -->
    <key>
    <!--
    Nom abrégé de l'entrée de la paire de clés
    Par défaut : "mykey"
    -->
    <alias>self-signed</alias>
    <!--
    Le mot de passe pour accéder à la paire de clés
    Par défaut : ""
    -->
    <password>password</password>
    </key>
    </ssl>
    <max-threads>128</max-threads>
    </listener>
  4. Redémarrez CQ5.
  5. Testez la configuration sur https://hostname:8889/

Activez les HTTPS dans CQ5 (CQ5.5, CQ5.6).

Voir la documentation officielle ici pour les instructions.

Activez Stunnel sur le serveur du Dispatcher.

  1. (Sur le serveur Dispatcher) Exécutez les commandes suivantes pour installer Stunnel :
    sudo /sbin/chkconfig --add Stunnel

    Si vous utilisez un système d'exploitation différent, utilisez le gestionnaire de packages dans l'OS pour télécharger Stunnel ou le télécharger depuis le site Stunnel http://www.stunnel.org. Ensuite, installez-le et configurez-le pour qu'il s'exécute au démarrage du système d'exploitation.
  2. Ouvrez /etc/stunnel/stunnel.conf pour éditer en utilisant cette commande
    sudo vi /etc/stunnel/stunnel.conf
  3. Dans stunnel.conf :
    client = yes
  4. Ajoutez ce qui suit au fichier stunnel.conf (remplacez par le port de l'instance CQ5)
    accept = 8081
    connect = :8889
  5. Démarrez Stunnel

Configurez le Dispatcher CQ pour qu'il pointe sur le port Stunnel au lieu de l'instance de publication.

  1. Reconfigurez la section /renders dans le fichier dispatcher.any pour pointer sur le port 8081 127.0.0.1 au lieu de pointer vers l'instance CQ5 de destination. Voir ici pour accéder à la documentation sur cette section du dispatcher.any.
  2. Redémarrez Apache et vérifiez que le Dispatcher fonctionne toujours en passant par Stunnel.
Remarque :

Le Dispatcher 4.1.3 a ajouté le support SSL et n'a plus besoin de Stunnel. Utilisez le package de distribution doté d’un paramètre -ssl- dans son nom. Un package de distribution tel que [1] est utilisé dans les exemples.  

Des étapes supplémentaires de configuration générale sont mentionnées ci-dessous. Reportez-vous aux notes de version du Dispatcher pour plus d’informations.

  • Activez la prise en charge HTTPS dans AEM.
  • Assurez-vous que la version OpenSSL v0.9.8 et la version mineure sont installées.
  • Configurez le port sécurisé et ajoutez l'indicateur de configuration sécurisé à la section /render dans dispatcher.any. Exemple

             /rend01
{
/hostname "10.60.183.34"
/port "9443"
/secure "1"
}

  • Réécrire l'en-tête HTTP Location si le serveur Web et le protocole backend (http / https) ne correspondent pas.

[1]

dispatcher-apache2.0-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.0-linux-i686-ssl-4.1.5.tar.gz
dispatcher-apache2.2-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.0-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.4-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.0-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.4-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x64-ssl-4.1.5.zip
dispatcher-apache2.2-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-i686-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-ns-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-solaris-sparc-ssl-4.1.5.tar.gz

S’applique à

CQSE 4.x, Granite.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?