Comunicação segura entre o Dispatcher e o CQ

Problema

Como configurar o dispatcher para se conectar ao CQ usando HTTPS em vez de HTTP?

Solução

Para ativar a comunicação HTTPS entre o dispatcher e o CQ, faça o seguinte:

  1. Ative o suporte HTTPS no mecanismo de servlet CQ.
  2. Conecte o Stunnel à porta CQ'HTTPS.
  3. Configure o dispatcher para se conectar ao Stunnel em vez de se conectar diretamente ao CQ.

Observação: essas instruções aplicam-se apenas a uma configuração de dispatcher baseada no Apache Web Server no Linux.

Essas instruções assumem que seu dispatcher está configurado no redhat linux, e que você está usando o servidor Web Apache 2.2.

Ative HTTPS no CQ5 (CQ5.1 - CQ5.4)

  1. (No servidor da instância cq5) use keytool java para gerar um repositório de chaves de certificado autoassinado. Em seguida, execute o comando keytool abaixo, no diretório crx-quickstart/server/etc/. Ao executar o comando, defina a senha no parâmetro -storepass com uma senha de sua escolha.
    keytool -genkey -keyalg RSA -alias self-signed -keystore keystore.jks -storepass password -validity 360 -keysize 2048
  2. Este comando cria um arquivo chamado keystore.jks. Se não executou o comando a partir do diretório crx-quickstart/server/etc/, copie o arquivo keystore.jks para esse diretório agora.
    • Se tiver certificados SSL, importe-os para sua Java VM usando keytool.
  3. Adicione o seguinte xml após a tag </listener> no arquivo crx-quickstart/server/etc/server.xml. Defina as senhas na configuração abaixo para corresponder às senhas definidas na etapa 1 acima.
    <!--
    A porta para escuta de conexões seguras, 443 é
    a porta padrão para HTTPS.
    -->
    <bind-port>8889</bind-port>

    <!-
    O elemento <ssl> ativa o SSL/TLS e o configura
    -->
    <ssl>
    <!--
    O protocolo de segurança a ser usado. Isso geralmente é
    um do "SSL", "SSLv3", "TLS", e "TLSv1".
    Padrão: "SSL"
    -->
    <protocol>SSL</protocol>

    <!--
    Indique as propriedades, como a localização do
    repositório de chaves contendo a chave do servidor.
    -->
    <key-store>

    <!--
    O algoritmo de autenticação a ser usado. O
    o valor padrão é apropriado para implementação do JSSE da Sun
    . Especifique qualquer coisa
    suportada pelo provedor JSSE usado.
    Padrão: "SunX509"
    -->
    <!-- <algorithm>SunX509</algorithm> -->

    <!--
    O tipo de repositório de chaves identificado pelo
    elemento <name>. Implementações JSSE/JCE da Sun
    suportam "JKS", "JCEKS", e "PKCS12"
    Padrão: "JKS"
    -->
    <!-- <type>JKS</type> -->

    <!--
    O local do arquivo do repositório de chaves. Se o nome
    é um caminho relativo, é relativo ao diretório de inicialização do mecanismo Servlet
    .
    Padrão: arquivo ".keystore" no diretório base
    do usuário.
    -->
    <name>etc/keystore.jks</name>

    <!--
    A senha para acessar o repositório de chaves.
    Padrão: ""
    -->
    <passphrase>password</passphrase>
    </key-store>

    <!--
    Especifique o nome (curto) do par de chaves a ser usado
    para escuta nesta porta.
    -->
    <key>
    <!-
    O nome curto da entrada do par de chaves
    Padrão: "mykey"
    -->
    <alias>self-signed</alias>
    <!--
    A senha para acessar o par de chaves
    Padrão: ""
    -->
    <password>password</password>
    </key>
    </ssl>
    <max-threads>128</max-threads>
    </listener>
  4. Reinicie o CQ5
  5. Teste a configuração ao acessar https://hostname:8889/

Ative HTTPS no CQ5 (CQ5.5, CQ5.6)

Consulte a documentação oficial aqui para instruções.

Ative o Stunnel no servidor do dispatcher

  1. (No servidor dispatcher) Execute os seguintes comandos para instalar o Stunnel:
    sudo /sbin/chkconfig --add Stunnel

    Se estiver usando um sistema operacional diferente, use o gerenciador de pacotes no sistema operacional para baixar o Stunnel ou do site Stunnel http://www.stunnel.org. Em seguida, instale-o e configure-o para ser executado na inicialização do sistema operacional.
  2. Abra /etc/stunnel/stunnel.conf para editar usando este comando
    sudo vi /etc/stunnel/stunnel.conf
  3. No stunnel.conf, defina:
    client = yes
  4. Adicione o seguinte ao stunnel.conf (substitua pela porta da instância cq5)
    accept = 8081
    connect = :8889
  5. Inicie o Stunnel

Configure o dispatcher CQ para apontar para a porta Stunnel em vez da instância de publicação

  1. Reconfigure a seção /renders no arquivo dispatcher.any para apontar para a porta 127.0.0.1 8081 em vez de apontar para a instância de destino do CQ5. Consulte aqui a documentação nessa seção do dispatcher.any
  2. Reinicie o apache e verifique se o dispatcher ainda funciona ao passar pelo Stunnel.
Observação:

O Dispatcher 4.1.3 e posteriores adicionou suporte ao SSL e não precisa mais do Stunnel. Use o pacote de distribuição com -ssl- em seu nome. Exemplos usam o pacote de distribuição como [1].  

Etapas adicionais de configuração geral são mencionadas abaixo. Consulte as notas de versão do dispatcher para mais detalhes.

  • Ative o suporte HTTPS no AEM.
  • Certifique-se de que o OpenSSL v0.9.8 e a versão secundária estão instalados.
  • Configure a porta segura e adicione sinalizador de configuração segura na seção /render do dispatcher.any. Exemplo

             /rend01
              {
                      /hostname "10.60.183.34"
                      /port "9443"
                      /secure "1"
              }

  • Reescreva o cabeçalho de localização HTTP se o servidor da Web e o protocolo de back-end (http/https) não correspondem.

[1]

dispatcher-apache2.0-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.0-linux-i686-ssl-4.1.5.tar.gz
dispatcher-apache2.2-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.0-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.4-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.4-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.0-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.4-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.0-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.4-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-aix-powerpc-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x64-ssl-4.1.5.zip
dispatcher-apache2.2-aix-powerpc64-ssl-4.1.5.tar.gz
dispatcher-iis-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-darwin-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-i686-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-apache2.2-linux-x86-64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparc-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-amd64-ssl-4.1.5.tar.gz
dispatcher-ns-solaris-sparcv9-ssl-4.1.5.tar.gz
dispatcher-apache2.2-solaris-i386-ssl-4.1.5.tar.gz
dispatcher-ns-windows-x86-ssl-4.1.5.zip
dispatcher-apache2.2-solaris-sparc-ssl-4.1.5.tar.gz

Aplica-se a

CQSE 4.x, Granite

Logotipo da Adobe

Fazer logon em sua conta