ディスパッチャーと CQ 間のセキュア通信

HTTP ではなく HTTPS を使用して CQ に接続するようにディスパッチャーをどのように設定しますか？

解決策

ディスパッチャーと CQ 間の HTTPS 通信を有効にするには、次の操作を行います。

1. CQ サーブレットエンジンで HTTPS サポートを有効にします。
2. Stunnel を CQ'HTTPS ポートに接続します。
3. CQ に直接接続する代わりに、Stunnel に接続するようにディスパッチャーを設定します。

注意：これらの手順は、Linux での Apache Web サーバーベースのディスパッチャー設定にのみ適用されます。

これらの手順は、Red Hat Linux でディスパッチャーを設定していることと、Apache 2.2 Web サーバーを使用していることを想定しています。

CQ5（CQ5.1 ～ CQ5.4）で HTTPS を有効にする

1. （cq5 インスタンスサーバー上で）Java keytool を使用し、自己署名入り証明書キーストアを生成します。次に、crx-quickstart/server/etc/ ディレクトリの下の keytool コマンドを実行します。コマンドの実行時に、-storepass パラメーターのパスワードを選択したパスワードに設定します。
   keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
2. このコマンドは、keystore.jks という名前のファイルを作成します。crx-quickstart/server/etc/ ディレクトリからコマンドを実行しなかった場合は、今の時点でそのディレクトリに keystore.jks ファイルをコピーします。
   • SSL 証明書がある場合は、keytool を使用して Java VM に読み込みます。
3. crx-quickstart/server/etc/server.xml ファイルの </listener> タグの後に次の XML を追加します。上記の手順 1 で設定したパスワードに一致するように、以下の設定でパスワードを設定します。
   <! --
   安全な接続でリッスンするポートである、443
   は、HTTPS の標準ポートです。
   -->
   <bind-port>8889</bind-port>
   
   <! --
   <ssl> エレメントにより、SSL/TLS を有効にして、設定します
   -->
   <ssl>
   <! --
   使用するセキュリティプロトコルです。これは、一般に
   「SSL」、「SSLv3」、「TLS」、および「TLSv1」の 1 つです。
   デフォルト：「SSL」
   -->
   <protocol>SSL</protocol>
   
   <! --
   サーバーキーを含むキーストアの
   場所などのプロパティを表示します。
   -->
   <key-store>
   
   <! --
   使用する認証アルゴリズムです。
   デフォルト値は Sun の JSSE
   実装に適しています。使用する JSSE プロバイダーでサポートされているもの
   のみを指定します。
   デフォルト：「SunX509」
   -->
   <! -- <algorithm>SunX509</algorithm> -->
   
   <! --
   <name> エレメント
   によって識別されるキーストアのタイプです。Sun の JSSE/JCE 実装
   は「JKS」、「JCEKS」、および「PKCS12」をサポートします
   デフォルト：「JKS」
   -->
   <! -- <type>JKS</type> -->
   
   <! --
   keystore ファイルの場所です。名前
   が相対パスである場合、これはサーブレット
   エンジンの起動ディレクトリに相対します。
   デフォルト：ユーザーのホーム
   ディレクトリの「.keystore」ファイル。
   -->
   <name>etc/keystore.jks</name>
   
   <! --
   キーストアにアクセスするためのパスフレーズです。
   Default: ""
   -->
   <passphrase>password</passphrase>
   </key-store>
   
   <! --
   このポートでリッスンするために使用する
   キーペアの（短縮）名を指定します。
   -->
   <key>
   <! --
   キーペアエントリの短縮名
   デフォルト「mykey」
   -->
   <alias>self-signed</alias>
   <! --
   キーペアにアクセスするためのパスワード
   デフォルト：""
   -->
   <password>password</password>
   </key>
   </ssl>
   <max-threads>128</max-threads>
   </listener>
4. CQ5 を再起動します
   
5. https://hostname:8889/ に移動して、設定をテストします

CQ5（CQ5.5、CQ5.6）で HTTPS を有効にする

手順については、ここにある公式ドキュメントを参照してください。

ディスパッチャーサーバーの Stunnel を有効にする

1. （ディスパッチャーサーバー上で）次のコマンドを実行し、Stunnel をインストールします。
   sudo /sbin/chkconfig --add Stunnel
   
   異なるオペレーティングシステムを使用している場合は、OS のパッケージマネージャーを使用して Stunnel をダウンロードするか、Stunnel のサイト http://www.stunnel.org からダウンロードします。次に、インストールおよび設定を行って、OS の起動を実行します。
   
2. このコマンドを使用して編集する /etc/stunnel/stunnel.conf を開きます
   sudo vi /etc/stunnel/stunnel.conf
3. stunnel.conf で設定します。
   client = yes
4. 次を stunnel.conf に追加します（cq5 インスタンスのポートで置き換えます）
   accept = 8081
   connect = :8889
5. Stunnel を起動します
   

CQ ディスパッチャーを設定し、パブリッシュインスタンスではなく Stunnel のポートを示します

1. 宛先の CQ5 インスタンスを示す代わりに、127.0.0.1 のポート 8081を示すように dispatcher.any ファイルの /renders セクションを再設定します。dispatcher.any のセクションにあるドキュメントについては、ここを参照してください
2. apache を再起動し、ディスパッチャーが Stunnel を介して引き続き機能することを確認します。
   

適用対象

CQSE 4.x、Granite