Asunto: La conexión a los servidores de LiveCycle/AEM Forms desde aplicaciones iOS y algunos clientes de Mac OS fallan tras la introducción de la Aplicación de seguridad de transporte (ATS) de Apple

Los clientes se conectan al servidor de LiveCycle/AEM Forms mediante HTTPS. Para los clientes de iOS 9 o Mac OS 10.11 que se conectan al servidor LiveCycle/AEM Forms a través de HTTPS, Apple requiere que el servidor sea compatible con la Aplicación de seguridad de transporte (ATS). Si el servidor no es compatible con ATS, Apple bloquea todas las conexiones HTTPS al servidor. 

Para el cumplimiento de ATS de su servidor, asegúrese de que:

  • El servidor de LiveCycle/AEM Forms admite conexiones con el estándar TLS 1.2 en HTTPS.
  • La conexión de TLS 1.2 utiliza cifrados que admiten la confidencialidad perfecta a través de la curva elíptica Diffie-Hellman Ephemeral (ECDHE) de intercambio de claves. Para obtener una lista de las cifras que tienen esta propiedad, consulte la página NSAppTransportSecurity en Lista de propiedades de la información Referencia clave en la documentación previa al lanzamiento de Apple.
  • El certificado del servidor está firmado con SHA-2 con una longitud mínima de digestión de 256 bits.
  • El certificado del servidor de hojas se firma con uno de los siguientes tipos de claves:
    • clave con clave > 2048 bytes
    • Clave ECC con clave > 256 bytes

 Consulte la documentación previa a la publicación de Apple.

Se recomienda utilizar el estándar TLS 1.2 para todas las comunicaciones, incluso desde dispositivos que no sean de Apple, por razones de seguridad y para permitir el cumplimiento de ATS.

Puede utilizar uno de los siguientes métodos para comprobar si su servidor es compatible con ATS:

  • Uso de los laboratorios SSL si la URL del servidor es pública
  • Uso de un equipo Mac

Realice los siguientes pasos para comprobar si su servidor es compatible con ATS utilizando laboratorios SSL:

  1. En su navegador, abra: https://www.ssllabs.com/ssltest/analyze.html

  2. Escriba la URL de su servidor en el campo nombre del host y haga clic en Submit.

    Puede escribir acrobat.com o seleccionar una de las opciones disponibles para ver cómo funciona. 

  3. En la página del informe de SSL, busque Apple ATS 9/iOS 9.

    Si su servidor es compatible con ATS, puede ver un mensaje en verde en el ATS 9/iOS 9. Si su servidor no es compatible con ATS 9/iOS 9, puede ver un mensaje en rojo. 

Realice los siguientes pasos para comprobar si su servidor es compatible con ATS utilizando un equipo Mac con Mac OS X 10.11 El Capitan:

  1. En la terminal, escriba: /usr/bin/nscurl --ats-diagnostics <url>

    Reemplace la <url> con la url del servidor para la cual desea verificar el cumplimiento de ATS.

  2. Su servidor es compatible con ATS si ve el siguiente mensaje:

    ---
    
    ATS Default Connection
    
    Result: PASS
    
    ---
    

Puede utilizar uno de los procedimientos anteriores para validar la conformidad con ATS. 

Si su servidor no supera la prueba de conformidad con ATS

Para solucionar el problema, siga estos pasos: 

  • Utilice un proxy, como el proxy de Apache.
    Si su configuración ya está utilizando un equilibrador de carga o un proxy, o si ha introducido un nuevo servidor proxy, puede modificar la configuración del proxy para resolver el problema de fallo de la conexión SSL. 
    Para el nuevo servidor proxy: asegúrese de que tiene el mismo nombre de dominio que su servidor LiveCycle/AEM Forms, y lea la documentación del servidor proxy/equilibrador de carga para que su servidor proxy cumpla con ATS.

Si no puede utilizar un servidor proxy, realice los pasos según el servidor de aplicaciones que esté utilizando.

Configuración de TLS 1.2 en el servidor JBoss

En algunas versiones de Java, TLS 1.2 es incompatible. Para solucionar problemas de compatibilidad, antes de habilitar TLS, consulte Solución de problemas de compatibilidad de TLS 1.2 con Java.

Si su configuración es compatible con TLS 1.2, realice los siguientes pasos para habilitar TLS en el servidor JBoss:

  1. Configure SSL usando LCM.

  2.  Abra el archivo lc_turnkey.xml en el editor.

    Ruta: 

    Para LiveCycle: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml

    Para AEM Forms: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml

  3. Cambie el valor del protocolo SSL a TLSv1.2 como se muestra a continuación:

    <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
    <ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" />
    </connector>
  4. Reinicie el servidor.

Pasos para verificar que el navegador está utilizando el TLS actualizado

  1. Abra la página segura de interfaz de usuario del admin en Firefox:

    URL: https://<server>:<port>/adminui

  2. Haga clic en el icono de candado verde a la izquierda de la URL y, a continuación, haga clic en el botón siguiente > Más información.

    Puede ver la versión de TLS en los detalles técnicos. 

Resolución de problemas de compatibilidad de TLS 1.2/ATS con Java:

Si está utilizando JBoss Turnkey que se entrega con la actualización 26 o 31 de Oracle Java 6, o si ha instalado manualmente Oracle Java 6:

  • Si tiene LiveCycle ES4 o versiones anteriores:

Si está utilizando JBoss Turnkey, que se entrega con la actualización 26 o 31 de Oracle Java 6, o si ha instalado manualmente Oracle Java 6:

  • Si tiene LiveCycle ES4 o versiones anteriores:

Configuración de TLS 1.2 en el servidor WebLogic

En algunas versiones de Java, TLS 1.2 es incompatible. Para solucionar problemas de compatibilidad, antes de habilitar TLS, consulte Solución de problemas de compatibilidad de TLS 1.2 con Java.

Si su configuración es compatible con TLS 1.2, realice los siguientes pasos para habilitar TLS en el servidor WebLogic:

  1. Para configurar SSL, consulte Configuración de SSL para el servidor WebLogic.

  2. Reinicie todos los servidores.

  3. En Configuraciones de dominio, haga clic en la pestaña Servidores > [Servidor administrado] > Configuración > Inicio del servidor.

  4. En el cuadro Argumentos, añada -Dweblogic.security.SSL.protocolVersion=TLSV1.2.

  5. Haga clic en Guardar

Pasos para verificar que el navegador está utilizando el TLS actualizado

  1. Abra la página segura de interfaz de usuario del admin en Firefox:

    URL: https://<server>:<port>/adminui

  2. Haga clic en el icono de candado verde a la izquierda de la URL, haga clic en el botón siguiente > Más información.

    Puede ver la versión de TLS en los detalles técnicos. 

Verifique el cumplimiento de ATS utilizando los laboratorios SSL o un equipo Mac. Los pasos para verificar el cumplimiento de los ATS se mencionan más arriba. 

Resolución de problemas de compatibilidad de TLS 1.2/ATS con Java:

Si utiliza WebLogic 10.x.x con Jrockit Java 6 R28 instalado:

Configuración de SSL/TLS 1.2 en el servidor de aplicaciones WebSphere

En algunas versiones de Java, TLS 1.2 es incompatible. Para solucionar problemas de compatibilidad, antes de habilitar TLS, consulte Solución de problemas de compatibilidad de TLS 1.2 con Java.

Si su configuración admite TLS 1.2, realice los siguientes pasos para configurar TLS en el servidor de aplicación WebSphere:

  1. Reinicie el servidor. 

  2. Para configurar SSL con TLS, consulte los pasos de Configuración del servidor de aplicaciones WebSphere para admitir TLS 1.2.

  3. Reinicie el servidor. 

Pasos para verificar que el navegador está utilizando el TLS actualizado

  1. Abra la página segura de interfaz de usuario del admin en Firefox:

    URL: https://<server>:<port>/adminui

  2. Haga clic en el icono de candado verde a la izquierda de la URL, haga clic en el botón siguiente > Más información.

    Puede ver la versión de TLS en los detalles técnicos. 

Verifique el cumplimiento de ATS utilizando los laboratorios SSL o un equipo Mac. Los pasos para verificar el cumplimiento de los ATS se mencionan más arriba. 

Solución de problemas de compatibilidad de TLS 1.2 con Java:

Si está utilizando el servidor de aplicación WebSphere 7.0.0.x, e IBM Java 6 está instalado:

  • Actualice el servidor de aplicación de WebSphere a 7.0.0.35 y actualice IBM Java 6.
  • Añada un proveedor Bouncy castle (1.5.4)
  • Habilite las cifras ECDHE en WebSphere:
    1. Inicie sesión en la consola de soluciones integradas del servidor de aplicaciones WebSphere.
    2. Vaya a Seguridad > Certificado SSL y Gestión de claves > Configuraciones SSL > NodeDefaultSSLSettings > Calidad de la protección (configuración de QoP). 
    3. Especifique los grupos de conjuntos de cifrado como personalizados y añada las cifras ECDHE adecuadas.
    4. Guarde y reinicie el servidor.

Si utiliza el Servidor de aplicación de WebSphere 8.0.0.x e IBM WebSphere Java SDK 1.6 instalado: 

  • Actualización del servidor de aplicaciones de WebSphere a 8.0.0.10
  • Actualice Java
    Los grupos de conjuntos de cifrado fuertes tienen cifrados ECDHE de forma predeterminada.
  • Habilite TLS 1.2 y reinicie el servidor. 

Si utiliza el Servidor de aplicaciones de WebSphere 8.x.x.x, con IBM J9 Virtual Machine (compilación 2.6 & 2.7, JRE 1.7.0) instalado:

  • Añada proveedor de Bouncy castle (1.5.4). Siga los siguientes pasos para añadir el Proveedor de Bouncy Castle (1.5.4) en el archivo de seguridad de Java:
    1. Copie el proovedor de bouncy castle a la carpeta JDK en la instalación del servidor.  Por ejemplo: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
      Para descargar el archivo jar haga clic aquí.
    2. Actualice el archivo de configuración en $JAVA_HOME/jre/lib/security/java.security
      con la entrada:
      security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
      (reemplace N con el siguiente número lógico)
      No instale el proveedor de Bouncy Castle 1.5.5 debido a un problema de firma conocido.

Nota:

Añada Bouncy Castle solo si no ve las cifras necesarias en la lista de cifras que aparece en la consola de administración. 

  • Habilite las cifras ECDHE en WebSphere:

    1. Inicie sesión en la consola de soluciones integradas del servidor de aplicaciones WebSphere.
    2. Vaya a Seguridad > Certificado SSL y Gestión de claves > Configuraciones SSL > NodeDefaultSSLSettings > Calidad de la protección (configuración de QoP). 
    3. Especifique los grupos de conjuntos de cifrado como personalizados y añada las cifras ECDHE adecuadas.
    4. Guarde y reinicie el servidor.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea