問題点

HTTP ではなく HTTPS を使用して CQ に接続するようにディスパッチャーをどのように設定しますか?

解決策

ディスパッチャーと CQ 間の HTTPS 通信を有効にするには、次の操作を行います。

  1. CQ サーブレットエンジンで HTTPS サポートを有効にします。
  2. Stunnel を CQ'HTTPS ポートに接続します。
  3. CQ に直接接続する代わりに、Stunnel に接続するようにディスパッチャーを設定します。

注意:これらの手順は、Linux での Apache Web サーバーベースのディスパッチャー設定にのみ適用されます。

これらの手順は、Red Hat Linux でディスパッチャーを設定していることと、Apache 2.2 Web サーバーを使用していることを想定しています。

CQ5(CQ5.1 ~ CQ5.4)で HTTPS を有効にする

  1. (cq5 インスタンスサーバー上で)Java keytool を使用し、自己署名入り証明書キーストアを生成します。次に、crx-quickstart/server/etc/ ディレクトリの下の keytool コマンドを実行します。コマンドの実行時に、-storepass パラメーターのパスワードを選択したパスワードに設定します。
    keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
  2. このコマンドは、keystore.jks という名前のファイルを作成します。crx-quickstart/server/etc/ ディレクトリからコマンドを実行しなかった場合は、今の時点でそのディレクトリに keystore.jks ファイルをコピーします。
    • SSL 証明書がある場合は、keytool を使用して Java VM に読み込みます。
  3. crx-quickstart/server/etc/server.xml ファイルの </listener> タグの後に次の XML を追加します。上記の手順 1 で設定したパスワードに一致するように、以下の設定でパスワードを設定します。
    <! --
    安全な接続でリッスンするポートである、443
    は、HTTPS の標準ポートです。
    -->
    <bind-port>8889</bind-port>

    <! --
    <ssl> エレメントにより、SSL/TLS を有効にして、設定します
    -->
    <ssl>
    <! --
    使用するセキュリティプロトコルです。これは、一般に
    「SSL」、「SSLv3」、「TLS」、および「TLSv1」の 1 つです。
    デフォルト:「SSL」
    -->
    <protocol>SSL</protocol>

    <! --
    サーバーキーを含むキーストアの
    場所などのプロパティを表示します。
    -->
    <key-store>

    <! --
    使用する認証アルゴリズムです。
    デフォルト値は Sun の JSSE
    実装に適しています。使用する JSSE プロバイダーでサポートされているもの
    のみを指定します。
    デフォルト:「SunX509」
    -->
    <! -- <algorithm>SunX509</algorithm> -->

    <! --
    <name> エレメント
    によって識別されるキーストアのタイプです。Sun の JSSE/JCE 実装
    は「JKS」、「JCEKS」、および「PKCS12」をサポートします
    デフォルト:「JKS」
    -->
    <! -- <type>JKS</type> -->

    <! --
    keystore ファイルの場所です。名前
    が相対パスである場合、これはサーブレット
    エンジンの起動ディレクトリに相対します。
    デフォルト:ユーザーのホーム
    ディレクトリの「.keystore」ファイル。
    -->
    <name>etc/keystore.jks</name>

    <! --
    キーストアにアクセスするためのパスフレーズです。
    Default: ""
    -->
    <passphrase>password</passphrase>
    </key-store>

    <! --
    このポートでリッスンするために使用する
    キーペアの(短縮)名を指定します。
    -->
    <key>
    <! --
    キーペアエントリの短縮名
    デフォルト「mykey」
    -->
    <alias>self-signed</alias>
    <! --
    キーペアにアクセスするためのパスワード
    デフォルト:""
    -->
    <password>password</password>
    </key>
    </ssl>
    <max-threads>128</max-threads>
    </listener>
  4. CQ5 を再起動します
  5. https://hostname:8889/ に移動して、設定をテストします

CQ5(CQ5.5、CQ5.6)で HTTPS を有効にする

手順については、ここにある公式ドキュメントを参照してください。

ディスパッチャーサーバーの Stunnel を有効にする

  1. (ディスパッチャーサーバー上で)次のコマンドを実行し、Stunnel をインストールします。
    sudo /sbin/chkconfig --add Stunnel

    異なるオペレーティングシステムを使用している場合は、OS のパッケージマネージャーを使用して Stunnel をダウンロードするか、Stunnel のサイト http://www.stunnel.org からダウンロードします。次に、インストールおよび設定を行って、OS の起動を実行します。
  2. このコマンドを使用して編集する /etc/stunnel/stunnel.conf を開きます
    sudo vi /etc/stunnel/stunnel.conf
  3. stunnel.conf で設定します。
    client = yes
  4. 次を stunnel.conf に追加します(cq5 インスタンスのポートで置き換えます)
    accept = 8081
    connect = :8889
  5. Stunnel を起動します

CQ ディスパッチャーを設定し、パブリッシュインスタンスではなく Stunnel のポートを示します

  1. 宛先の CQ5 インスタンスを示す代わりに、127.0.0.1 のポート 8081を示すように dispatcher.any ファイルの /renders セクションを再設定します。dispatcher.any のセクションにあるドキュメントについては、ここを参照してください
  2. apache を再起動し、ディスパッチャーが Stunnel を介して引き続き機能することを確認します。

注意:

ディスパッチャー 4.1.3 以降は SSL のサポートを追加しているため、Stunnel を必要としません。名前に - ssl- を含む配布パッケージを使用します。例として、[1] のような配布パッケージを使用します。 

その他の一般的な設定手順を以下に示します。詳しくは、ディスパッチャーのリリースノートを参照してください。

  • AEM で HTTPS サポートを有効にします。
  • OpenSSL v0.9.8 およびマイナーバージョンがインストールされていることを確認してください。
  • セキュリティで保護されたポートを設定し、セキュリティで保護された設定フラグを dispatcher.any の /render セクションに追加します。例

             /rend01
{
/hostname "10.60.183.34"
/port "9443"
/secure "1"
}

  • Web サーバーおよびバックエンドプロトコル(http/https)が一致しない場合は、HTTP の場所ヘッダーを書き換えます。

[1]

dispatcher-apache2.0-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.0-linux-i686-ssl-4.1.5.tar.gz
dispatcher-apache2.2-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.0-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.4-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.0-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.4-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x64-ssl-4.1.5.zip
dispatcher-apache2.2-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-i686-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-ns-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-solaris-sparc-ssl-4.1.5.tar.gz

適用対象

CQSE 4.x、Granite

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー