Comunicazione sicura tra il Dispatcher e CQ

Problema

Come configuro il dispatcher per connettermi a CQ usando HTTPS invece che HTTP?

Soluzione

Per abilitare la comunicazione HTTPS tra il dispatcher e il CQ, procedi come segue:

  1. Attiva il supporto HTTPS nel motore CQ servlet.
  2. Collega Stunnel alla porta CQ'HTTPS.
  3. Configura il dispatcher per connetterti a Stunnel invece di connetterti direttamente a CQ.

Nota: Queste istruzioni si applicano solo ad un dispatcher basato su Apache Web Server configurato in Linux.

Queste istruzioni presuppongono che il tuo dispatcher sia configurato su RedHat linux, e che tu stia usando il server web Apache 2.2.

Abilita HTTPS in CQ5 (CQ5.1 - CQ5.4)

  1. (Sul server di istanza cq5) Usa java keytool per generare un archivio chiavi di certificato autofirmato. Quindi, esegui il comando keytool sotto la directory crx-quickstart/server/etc/. Quando esegui il comando, imposta la password nel parametro -storepass su una password di tua scelta.
    keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
  2. Questo comando crea un file denominato keystore.jks. Se non hai eseguito il comando dalla directory crx-quickstart/server/etc/, copia ora il file keystore.jks in quella cartella.
    • Se disponi di certificati SSL, importali nella tua Java VM utilizzando keytool.
  3. Aggiungi il seguente xml dopo il tag </listener> nel file crx-quickstart/server/etc/server.xml. Imposta le password nella configurazione seguente in modo che corrispondano a quelle impostate al punto 1 di cui sopra.
    <!--
    La porta per ascoltare le connessioni sicure, 443 è
    la porta standard per HTTPS.
    -->
    <bind-port>8889</bind-port>

    <!--
    L'elemento <ssl> abilita SSL/TLS e lo configura
    -->
    <ssl>
    <!--
    Il protocollo di sicurezza da utilizzare. Si tratta in genere
    di "SSL", "SSLv3", "TLS" e "TLSv1".
    Predefinito: "SSL"
    --
    <protocol>SSL</protocol>

    <!--
    Indica proprietà come la posizione dell'
    archivio chiavi che contiene la chiave dei server.
    -->
    <key-store>

    <!--
    L'algoritmo di autenticazione da utilizzare. Il
    valore predefinito è appropriato per l'
    implementazione JSSE di Sun. Specifica solo quanto
    supportato dal provider JSSE utilizzato.
    Predefinito: "SunX509"
    -->
    <!-- <algorithm>SunX509</algorithm> -->

    <!--
    Il tipo di archivio chiavi identificato dall'
    <name>elemento. Le implementazioni JSSE/JCE di Sun
    supportano "JKS", "JCEKS" e "PKCS12"
    Predefinito: "JKS"
    -->
    <!-- <type>JKS</type> -->

    <!--
    La posizione del file dell'archivio chiavi. Se il nome
    è un percorso relativo è relativo alla directory di avvio del Servlet
    Engine.
    Predefinito: file ".keystore" nella directory home
    dell'utente.
    -->
    <name>etc/keystore.jks</name>

    <!--
    La passphrase per accedere all'archivio chiavi.
    Predefinito: ""
    -->
    <passphrase>password</passphrase>
    </key-store>

    <!--
    Specifica il nome (breve) della coppia di chiavi da utilizzare
    per l'ascolto su questa porta.
    -->
    <key>
    <!--
    Il nome breve della coppia di chiavi
    Predefinito: "mykey"
    -->
    <alias>self-signed</alias>
    <!--
    La password per accedere alla coppia di chiavi
    Predefinito: ""
    -->
    <password>password</password>
    </key>
    </ssl>
    <max-threads>128</max-threads>
    </listener>
  4. Riavvia CQ5
  5. Testa la configurazione visitando https://hostname:8889/

Abilita HTTPS in CQ5 (CQ5.5, CQ5.6)

Consulta la documentazione ufficiale qui per le istruzioni.

Abilita Stunnel sul server del dispatcher

  1. (Sul server del dispatcher) Esegui i seguenti comandi per installare Stunnel:
    sudo /sbin/chkconfig --add Stunnel

    Se utilizzi un sistema operativo diverso, utilizza la gestione pacchetti nel sistema operativo per scaricare Stunnel o scaricarlo dal sito Stunnel http://www.stunnel.org. Quindi, installalo e configuralo per l'esecuzione all'avvio del sistema operativo.
  2. Apri /etc/stunnel/stunnel.conf per modificare utilizzando questo comando
    sudo vi /etc/stunnel/stunnel.conf
  3. In stunnel.conf set:
    client = yes
  4. Aggiungi il seguente a stunnel.conf (sostituisci con la porta dell'istanza cq5)
    accept = 8081
    connect = :8889
  5. Avvia Stunnel

Configura dispatcher CQ per puntare alla porta di Stunnel invece che all'istanza Publish

  1. Riconfigura la sezione /renders nel file dispatcher.any per puntare alla porta 127.0.0.1 8081 invece di puntare all'istanza CQ5 di destinazione. Vedi qui per la documentazione su quella sezione del dispatcher.any
  2. Riavvia apache e verifica che il dispatcher funzioni ancora quando passa attraverso Stunnel.
Nota:

Dispatcher versione 4.1.3 e successive ha aggiunto il supporto SSL e non ha più bisogno di Stunnel. Utilizza il pacchetto di distribuzione che ha un -ssl-nel nome. Gli esempi utilizzano il pacchetto di distribuzione come [1].  

Di seguito sono indicate ulteriori fasi di configurazione generale. Per maggiori dettagli, fai riferimento alle note sulla versione del dispatcher.

  • Attiva il supporto HTTPS in AEM.
  • Assicurati che OpenSSL v0.9.8 e la versione minore siano installati.
  • Configura la porta sicura e aggiungi il flag secure config alla sezione /render in dispatcher.any. Example

             /rend01
              {
                      /hostname "10.60.183.34"
                      /port "9443"
                      /secure "1"
              }

  • Riscrivi l'intestazione della posizione HTTP se il server Web e il protocollo di back-end (http/https) non corrispondono.

[1]

dispatcher-apache2.0-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.0-linux-i686-ssl-4.1.5.tar.gz
dispatcher-apache2.2-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.0-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.4-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.0-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.4-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x64-ssl-4.1.5.zip
dispatcher-apache2.2-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-i686-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-ns-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-solaris-sparc-ssl-4.1.5.tar.gz

Si applica a

CQSE 4.x, Granite

Logo Adobe

Accedi al tuo account