No navegador, abra: https://www.ssllabs.com/ssltest/analyze.html
Problema: a conexão com servidores dp LiveCycle/AEM Forms de aplicativos iOS e determinados clientes do Mac OS falham após a introdução do App Transport Security (ATS) da Apple
Os clientes se conectam ao servidor do LiveCycle/AEM Forms usando HTTPS. Para clientes iOS 9 ou Mac OS 10.11 conectados ao servidor do LiveCycle/AEM Forms via HTTPS, a Apple exige que o servidor seja compatível com o App Transport Security (ATS). Se o servidor não é compatível com ATS, a Apple bloqueia todas as conexões HTTPS com o servidor.
Para o servidor estar em conformidade com o ATS, certifique-se de que:
- O servidor do LiveCycle/AEM Forms é compatível com conexões usando o padrão TLS 1.2 via HTTPS.
- A conexão TLS 1.2 usa cifras que suportam o perfect forward secrecy (PFS) através da troca de chaves da curva elíptica Diffie-Hellman efêmera (ECDHE). Para obter uma lista das cifras que possuem essa propriedade, consulte a página NSAppTransportSecurity em Referência principal da lista de propriedades de informações na documentação de pré-lançamento da Apple.
- O certificado do servidor é assinado com SHA-2 com um tamanho mínimo de digitação de 256 bits.
- O certificado do servidor leaf é assinado com um dos seguintes tipos de chaves:
- chave com chave maior que 2048 bytes
- chave ECC com chave maior que 256 bytes
Consulte a documentação de pré-lançamento da Apple.
Recomenda-se o uso do TLS 1.2 padrão para todas as comunicações, mesmo em dispositivos que não são da Apple, por motivos de segurança e porque isso permite a conformidade com o ATS.
É possível usar um dos seguintes métodos para verificar se o seu servidor é compatível com ATS:
- Uso do SSL Labs se a URL do servidor for pública
- Uso de uma máquina Mac
Execute as etapas a seguir para verificar se seu servidor é compatível com ATS usando o SSL Labs:
-
-
Digite a URL do servidor no campo Hostname e clique em Enviar.
Digite acrobat.com ou selecione uma das opções disponíveis para ver como funcionam.
-
Na página de relatório de SSL, localize Apple ATS 9/iOS 9.
Se o servidor é compatível com ATS, é possível ver uma mensagem em verde ao lado de ATS 9/iOS 9. Se o servidor não é compatível com ATS 9/iOS 9, aparece uma mensagem em vermelho.
Execute as etapas a seguir para testar se o servidor é compatível com ATS usando uma máquina Mac com o Mac OS X 10.11 El Capitan:
-
No terminal, digite: /usr/bin/nscurl --ats-diagnostics <url>
Substitua <url> pela URL do servidor para o qual deseja verificar a conformidade com o ATS.
-
Seu servidor é compatível com ATS caso a seguinte mensagem seja exibida:
--- ATS Default Connection Result: PASS ---
Use um dos procedimentos acima para validar a conformidade com o ATS.
Se o servidor falhar no teste de conformidade com o ATS
Siga as etapas a seguir para solucionar o problema de conformidade com o ATS:
- Use um proxy, como o proxy do Apache.
Se a configuração já está usando um balanceador de carga ou um proxy, ou se tiver sido introduzido um novo servidor proxy, é possível modificar as configurações de proxy para resolver o problema de falha de conexão SSL.
Para o novo servidor proxy: verifique se ele tem o mesmo nome de domínio que o servidor do LiveCycle/AEM Forms e leia a documentação do servidor proxy/balanceador de carga para tornar o servidor proxy compatível com ATS.
Se não for possível usar um servidor proxy, execute as etapas de acordo com o servidor de aplicativos que está em uso.
Configurar o TLS 1.2 no servidor JBoss
O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade com o TLS 1.2 com Java.
Se a configuração for compatível com o TLS 1.2, execute as etapas a seguir para ativar o TLS no servidor JBoss:
-
Configure o SSL usando o LCM.
-
Abra o arquivo lc_turnkey.xml no editor.
Caminho:
Para o LiveCycle: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml
Para o AEM Forms: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml
-
Altere o valor do protocolo SSL para TLSv1.2, conforme mostrado abaixo:
<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/> <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" /> </connector>
-
Reinicie o servidor.
Etapas para verificar se o navegador está usando o TLS atualizado
-
Abra a página adminui segura no Firefox:
URL: https://<server>:<port>/adminui
-
Clique no ícone de cadeado verde à esquerda da URL e, em seguida, clique no botão > Mais informações.
É possível ver a versão do TLS abaixo dos detalhes técnicos.
Solução de problemas de compatibilidade do TLS 1.2/ATS com o Java:
Se estiver usando o JBoss Turnkey, que acompanha o Oracle Java 6, atualização 26 ou atualização 31, ou se você instalou manualmente o Oracle Java 6:
- Se tiver o LiveCycle ES4 ou anterior:
- Use um proxy, como o proxy do Apache. Veja as etapas acima.
Se estiver usando o JBoss Turnkey, que acompanha o Oracle Java 6, atualização 26 ou atualização 31, ou se você instalou manualmente o Oracle Java 6:
- Se tiver o LiveCycle ES4 ou anterior:
- Use um proxy, como o proxy do Apache. Veja as etapas acima.
Configurar o TLS 1.2 no servidor WebLogic
O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade do TLS 1.2 com Java.
Se a configuração é compatível com o TLS 1.2, execute as etapas a seguir para ativar o TLS no servidor WebLogic:
-
Para configurar o SSL, consulte Configuração do SSL para o servidor WebLogic.
-
Reinicie todos os servidores.
-
Em Configurações de domínio, clique na aba Servidores > [Servidor gerenciado] > Configuração > Início do servidor.
-
Na caixa Argumentos, adicione -Dweblogic.security.SSL.protocolVersion=TLSV1.2.
-
Clique em Salvar.
Etapas para verificar se o navegador está usando o TLS atualizado
-
Abra a página adminui segura no Firefox:
URL: https://<server>:<port>/adminui
-
Clique no ícone de cadeado verde à esquerda da URL, clique no botão > Mais informações.
É possível ver a versão do TLS abaixo dos detalhes técnicos.
Verifique a conformidade com o ATS usando o SSL Labs ou uma máquina Mac. As etapas para verificar a conformidade com o ATS são mencionadas acima.
Solução de problemas de compatibilidade do TLS 1.2/ATS com o Java:
Se tiver o WebLogic 10.xx com Jrockit Java 6 R28 instalado:
- Use um proxy, como o proxy do Apache. Veja as etapas acima.
Configurar SSL/TLS 1.2 no WebSphere Application Server
O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade do TLS 1.2 com Java.
Se a configuração é compatível com o TLS 1.2, execute as etapas a seguir para configurar o TLS no WebSphere Application Server:
-
Para configurar o SSL, consulte Configuração do SSL para o WebSphere Application Server.
-
Reinicie o servidor.
-
Para configurar SSL com TLS, consulte as etapas em Configuração do WebSphere Application Server para suportar o TLS 1.2.
-
Reinicie o servidor.
Etapas para verificar se o navegador está usando o TLS atualizado
-
Abra a página adminui segura no Firefox:
URL: https://<server>:<port>/adminui
-
Clique no ícone de cadeado verde à esquerda da URL, clique no botão > Mais informações.
É possível ver a versão do TLS abaixo dos detalhes técnicos.
Verifique a conformidade com o ATS usando o SSL Labs ou uma máquina Mac. As etapas para verificar a conformidade com o ATS são mencionadas acima.
Resolução de problemas de compatibilidade do TLS 1.2 com o Java:
Se estiver usando o WebSphere Application Server 7.0.0.x e o IBM Java 6 estiver instalado:
- Atualize o WebSphere Application Server para 7.0.0.35 e atualize o IBM Java 6.
- Adicionar provedor bouncy castle (1.5.4)
- Ative as cifras de ECDHE no WebSphere:
- Efetue login no Console de soluções integradas do WebSphere Application Server.
- Navegue até Segurança > Certificado SSL e gerenciamento de chaves > Configurações SSL > NodeDefaultSSLSettings > Qualidade de proteção (configurações de QoP).
- Especifique os grupos de conjuntos de cifras como personalizados e adicione as cifras ECDHE apropriadas.
- Salve e reinicie o servidor.
Se você está usando o WebSphere Application Server 8.0.0.x e tem o IBM WebSphere Java SDK 1.6 instalado:
- Atualizar o WebSphere Application Server para 8.0.0.10
- Atualizar Java
O grupo de conjuntos de cifras fortes possui cifras ECDHE por padrão. - Ative o TLS 1.2 e reinicie o servidor.
Se você está usando o WebSphere Application Server 8.xxx com o IBM J9 Virtual Machine (compilação 2.6 e 2.7, JRE 1.7.0) instalado:
- Adicionar provedor bouncy castle (1.5.4). Execute as etapas a seguir para adicionar o Provedor bouncy castle (1.5.4) no arquivo de segurança Java:
- Copie o jar do provedor bouncy castle para a pasta JDK sob a instalação do servidor. Por exemplo: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
clique aqui para baixar o arquivo jar. - Atualize o arquivo de configuração em $JAVA_HOME/jre/lib/security/java.security
com a entrada:
security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
(substitua N pelo próximo número lógico)
Não instaleo Provedor bouncy castle 1.5.5 devido a um problema de login conhecido.
- Copie o jar do provedor bouncy castle para a pasta JDK sob a instalação do servidor. Por exemplo: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
Adicione o bouncy castle somente se não vir as cifras necessárias na lista de cifras que aparece no console de administração.
Ative as cifras de ECDHE no WebSphere:
- Efetue login no Console de soluções integradas do WebSphere Application Server.
- Navegue até Segurança > Certificado SSL e gerenciamento de chaves > Configurações SSL > NodeDefaultSSLSettings > Qualidade de proteção (configurações de QoP).
- Especifique os grupos de conjuntos de cifras como personalizados e adicione as cifras ECDHE apropriadas.
- Salve e reinicie o servidor.