Sicurezza dei documenti: Conformità ATS (App Transport Security) di Apple

Cerca

Problema: La connessione ai server LiveCycle/AEM Form da applicazioni iOS e da alcuni client Mac OS non riescono dopo l'introduzione dell'App Transport Security (ATS) di Apple

I client si collegano al server LiveCycle/AEM Form tramite HTTPS. Per i client iOS 9 o Mac OS 10.11 che si connettono al server LiveCycle/AEM Form tramite HTTPS, Apple richiede che il server sia conforme all'App Transport Security (ATS). Se il server non è compatibile con ATS, Apple blocca tutte le connessioni HTTPS al server. 

Per la conformità ATS del tuo server, assicurati che:

  • Il server LiveCycle/AEM Form supporta connessioni con lo standard TLS 1.2 in HTTPS.
  • La connessione TLS 1.2 utilizza crittografie che supportano la perfect forward secrecy attraverso lo scambio di chiavi della curva ellittica Diffie-Hellman Ephemeral (ECDHE) Per l'elenco delle crittografie con questa proprietà, consulta la pagina NSAppTransportSecurity under Information Property List Key Reference nella documentazione pre-release di Apple. 
  • Il certificato del server è firmato SHA-2 con una lunghezza minima di digest di 256 bit.
  • Il certificato leaf server è firmato con uno dei seguenti tipi di chiavi:
    • chiave > 2048 byte
    • Chiave ECC > 256 byte

 Vedi la documentazione pre-release di Apple

L'utilizzo dello standard TLS 1.2 per tutte le comunicazioni, anche da dispositivi non Apple, è consigliato per motivi di sicurezza e per consentire la conformità ATS.

È possibile utilizzare uno dei seguenti metodi per verificare se il server è compatibile con ATS:

  • Utilizzo di SSL Labs se l'URL del server è pubblico
  • Utilizzo di un computer Mac

Esegui i seguenti passi per verificare se il server è compatibile con ATS tramite gli SSL labs:

  1. Nel browser, apri: https://www.ssllabs.com/ssltest/analyze.html

  2. Digita l'URL del server nel campo Hostname e fai clic su Submit

    Puoi digitare acrobat.com o selezionare una delle opzioni disponibili per vedere come funziona. 

  3. Nella pagina report SSL, trova Apple ATS 9/iOS 9.

    Se il server è compatibile con ATS, puoi visualizzare un messaggio in verde rispetto a l'ATS 9/iOS 9. Se il server non è compatibile con ATS 9/iOS 9, puoi visualizzare un messaggio in rosso. 

Esegui i seguenti passaggi per verificare se il server è compatibile ATS utilizzando un computer Mac con Mac OS X 10.11 El Capitan:

  1. Nel terminale, digita: /usr/bin/nscurl --ats-diagnostics <url>

    Sostituisci l'<url> con l'url del server per il quale si desidera verificare la conformità ATS. 

  2. Se vedi il seguente messaggio il server è conforme con ATS:

    ---

ATS Default Connection

Result: PASS

---

Puoi utilizzare una delle procedure di cui sopra per convalidare la conformità ATS. 

Se il server non supera il test di conformità ATS

Esegui i seguenti passaggi per risolvere il problema: 

  • utilizza un proxy, come ad esempio Apache.
    Se la configurazione utilizza già un load balancer o un proxy, o se è stato introdotto un nuovo server proxy, puoi modificare le impostazioni proxy per risolvere il problema di errore di connessione SSL. 
    Per il nuovo server proxy: assicurati che porti lo stesso nome di dominio del server LiveCycle/AEM Form e leggi la documentazione del proxy server/load balancer di carico per rendere il server proxy ATS compatibile. 

Se non è possibile utilizzare un server proxy, esegui le operazioni in base al server applicazioni che stai utilizzando.

Configurazione di TLS 1.2 sul server JBoss

Con alcune versioni di Java, TLS 1.2 è incompatibile. Per la risoluzione dei problemi di compatibilità, prima di abilitare TLS, consulta Risoluzione dei problemi di compatibilità TLS 1.2 con Java

Se la configurazione supporta TLS 1.2, esegui i seguenti passaggi per abilitare TLS nel server JBoss:

  1. Configura SSL utilizzando LCM.

  2.  Apri il file lc_turnkey.xml nell'editor.

    Percorso: 

    Per LiveCycle: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml

    Per i Form AEM: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml

  3. Modifica il valore del protocollo ssl in TLSv1.2 come mostrato di seguito:

    <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" />
</connector>

  4. Riavvia il server.

Passaggi per verificare che il browser stia utilizzando il TLS aggiornato

  1. Apri la pagina di amministrazione sicura in Firefox:

    URL: https://<server>:<port>/adminui

  2. Fai clic sull'icona del lucchetto verde a sinistra dell'URL, quindi fai clic sul pulsante successivo > Ulteriori informazioni.

    La versione TLS può essere consultata nei dettagli tecnici. 

Risoluzione dei problemi di compatibilità TLS 1.2/ATS con Java:

Se utilizzi JBoss Turnkey fornito con l'aggiornamento 26 o 31 di Oracle Java 6, o se hai installato manualmente Oracle Java 6:

  • Se possiedi LiveCycle ES4 o precedenti:

Se utilizzi JBoss Turnkey fornito con l'aggiornamento 26 o 31 di Oracle Java 6, o se hai installato manualmente Oracle Java 6:

  • Se possiedi LiveCycle ES4 o precedente:

Configurazione di TLS 1.2 sul server WebLogic

Con alcune versioni di Java, TLS 1.2 è incompatibile. Per la risoluzione dei problemi di compatibilità, prima di abilitare TLS, consulta Risoluzione dei problemi di compatibilità TLS 1.2 con Java

Se la configurazione supporta TLS 1.2, esegui i seguenti passaggi per abilitare TLS nel server WebLogic:

  1. Per configurare SSL, consulta la Configurazione di SSL per il server WebLogic

  2. Riavvia tutti i server.

  3. In Configurazioni dominio, fai clic su Server > [Managed Server] > Configuration > Server Start tab.

  4. Nella finestra Argomenti, aggiungi -Dweblogic.security.SSL.protocolVersion=TLSV1.2.

  5. Fai clic su Save

Passaggi per verificare che il browser stia utilizzando il TLS aggiornato

  1. Apri la pagina di amministrazione sicura in Firefox:

    URL: https://<server>:<port>/adminui

  2. Fai clic sull'icona del lucchetto verde a sinistra dell'URL, poi fai clic sul pulsante > Ulteriori informazioni.

    La versione TLS può essere consultata nei dettagli tecnici. 

Verifica la conformità ATS con gli SSL labs o un computer Mac. I passaggi per verificare la conformità ATS sono menzionati in precedenza. 

Risoluzione dei problemi di compatibilità TLS 1.2/ATS con Java:

Se utilizzi WebLogic 10.x.x con Jrockit Java 6 R28 installato:

Configurazione di SSL/TLS 1.2 su WebSphere Application Server

Con alcune versioni di Java, TLS 1.2 è incompatibile. Per la risoluzione dei problemi di compatibilità, prima di abilitare TLS, consulta la Risoluzione dei problemi di compatibilità TLS 1.2 con Java

Se la configurazione supporta TLS 1.2, esegui i seguenti passaggi per impostare TLS su WebSphere Application Server:

  1. Per configurare SSL, consulta la Configurazione di SSL per WebSphere Application Server

  2. Riavvia il server. 

  3. Per la configurazione di SSL con TLS, consulta i passaggi nella Configurazione di WebSphere Application Server per supportare TLS 1.2.

  4. Riavvia il server. 

Passaggi per verificare che il browser stia utilizzando il TLS aggiornato

  1. Apri la pagina di amministrazione sicura in Firefox:

    URL: https://<server>:<port>/adminui

  2. Fai clic sull'icona del lucchetto verde a sinistra dell'URL, poi fai clic sul pulsante > Ulteriori informazioni.

    La versione TLS può essere consultata nei dettagli tecnici. 

Verifica la conformità ATS con gli SSL labs o un computer Mac. I passaggi per verificare la conformità ATS sono menzionati in precedenza. 

Risoluzione dei problemi di compatibilità TLS 1.2 con Java:

Se utilizzi WebSphere Application Server 7.0.0.x e IBM Java 6 non è installato:

  • Aggiorna WebSphere Application Server alla versione 7.0.0.35 e aggiorna IBM Java 6.
  • Aggiungi provider Bouncy Castle (1.5.4)
  • Abilita i codici ECDHE in WebSphere:
    1. Accedi alla console delle soluzioni integrate della console WebSphere Application Server Integrated Solutions.
    2. Accedere a Sicurezza > Certificato SSL e gestione delle chiavi > Configurazioni SSL > Impostazioni NodeDefaultSSL > Qualità della protezione (impostazioni QoP). 
    3. Specifica i gruppi di suite crittografati come personalizzati e aggiungi i codici crittografati ECDHE.
    4. Salva e riavvia il server.

Se utilizzi la versione WebSphere Application Server 8.0.0.x con installata IBM WebSphere Java SDK 1.6: 

  • Aggiorna la versione di WebSphere Application Server alla 8.0.0.10
  • Aggiorna i gruppi Java
    crittografati della suite come crittografati ECDHE per impostazione predefinita.
  • Abilita TLS 1.2 e riavvia il server. 

Se utilizzi WebSphere Application Server 8.x.x.x con IBM J9 Virtual Machine (build 2.6 & 2.7, JRE 1.7.0) installata:

  • Aggiungi il provider Bouncy Castle (1.5.4). Esegui i seguenti passaggi per aggiungere il Provider Bouncy Castle (1.5.4) nel file di sicurezza Java:
    1. Copia il jar del provider Bouncy Castle nella cartella JDK nell'installazione server.  Ad esempio: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
      Per scaricare il file jar fai clic qui.
    2. Aggiorna il file di configurazione in $JAVA_HOME/jre/lib/security/java.security
      con la voce:
      security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
      (sostituisci N con il numero logico seguente)
      Non installare il provider Bouncy Castle 1.5.5 a causa di problemi di firma noti. 
Nota:

Aggiungi Bouncy Castle solo se non vedi le crittografie richieste nell'elenco crittografie che appare nella console di amministrazione. 

  • Abilita i codici ECDHE in WebSphere:

    1. Accedi alla console delle soluzioni integrate della console WebSphere Application Server Integrated Solutions.
    2. Accedi a Sicurezza > Certificato SSL e gestione delle chiavi > Configurazioni SSL > NodeDefaultSSLSettings > Qualità della protezione (impostazioni QoP). 
    3. Specifica i gruppi di suite crittografati come personalizzati e aggiungi i codici crittografati ECDHE.
    4. Salva e riavvia il server.

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Collegamenti rapidi

Visualizza tutti i tuoi piani Gestione dei piani
Visualizza collegamenti rapidi
Nascondi collegamenti rapidi

Note legali    |    Informativa sulla privacy online