Sicherheitscheckliste security-checklist
Dieser Abschnitt behandelt die verschiedenen Schritte, mit denen Sie sicherstellen können, dass Ihre AEM-Installation bei der Bereitstellung sicher ist. Die Checkliste ist so konzipiert, dass sie von oben nach unten abgearbeitet werden sollte.
Hauptsicherheitsmaßnahmen main-security-measures
Ausführen von AEM im produktionsbereiten Modus run-aem-in-production-ready-mode
Weitere Informationen finden Sie unter Ausführen von AEM im produktionsbereiten Modus.
Aktivieren von HTTPS für Transport Layer Security enable-https-for-transport-layer-security
Die Aktivierung der HTTPS-Transportschicht (Transport Layer) in den Autoren- und Veröffentlichungsinstanzen ist obligatorisch, um eine sichere Instanz zu erhalten.
Installieren von Sicherheits-Hotfixes install-security-hotfixes
Vergewissern Sie sich, dass Sie die neuesten von Adobe bereitgestellten Sicherheits-Hotfixes installiert haben.
Ändern von Standardkennwörtern für AEM- und OSGi Console-Administratorkonten change-default-passwords-for-the-aem-and-osgi-console-admin-accounts
Adobe empfiehlt dringend, dass Sie das Passwort für die mit allen Berechtigungen ausgestatteten AEM-admin
Konten nach der Installation ändern (in allen Instanzen).
Diese Konten beinhalten:
-
Das
admin
-Konto von AEMSobald Sie das Passwort für das AEM-Admin-Konto geändert haben, müssen Sie für den Zugriff auf CRX das neue Passwort verwenden.
-
Das
admin
-Passwort für die OSGi-Web-KonsoleDiese Änderung wird auch für das Admin-Konto übernommen, das für den Zugriff auf die Web-Konsole verwendet wird. Daher müssen Sie dafür dasselbe Passwort verwenden.
Diese beiden Konten nutzen separate Kontoanmeldeinformationen und die Verwendung von unterschiedlichen sicheren Passwörtern für jedes Konto ist für eine sichere Bereitstellung von entscheidender Bedeutung.
Ändern des AEM-Administratorkennworts changing-the-aem-admin-password
Das Kennwort für das AEM-Administratorkonto kann über die Konsole für Granite-Vorgänge – Benutzer geändert werden.
Dort können Sie das admin
-Konto bearbeiten und das Kennwort ändern.
Bedeutung der Änderung des Kennworts für die OSGi-Web-Konsole importance-of-changing-the-osgi-web-console-password
Unabhängig vom admin
-Konto von AEM kann eine Nichtänderung des Standardkennworts für die OSGi-Web-Konsole dazu führen, dass:
- Offenlegung des Servers mit einem Standardkennwort beim Start und beim Herunterfahren (was bei großen Servern mehrere Minuten dauern kann);
- Offenlegung des Servers, wenn das Repository heruntergefahren/ein Bundle neu gestartet wird – und OSGi ausgeführt wird.
Weitere Informationen zum Ändern des Kennworts für die Web-Konsole finden Sie unter Ändern des Administratorkennworts der OSGi-Web-Konsole unten.
Ändern des Administratorkennworts der OSGi-Web-Konsole changing-the-osgi-web-console-admin-password
Ändern Sie das Passwort für den Zugriff auf die Web-Konsole. Dies geschieht mithilfe einer OSGi-Konfiguration, um die folgenden Eigenschaften der Apache Felix OSGi Management Console zu aktualisieren:
- Benutzername und Kennwort: die Anmeldeinformationen für den Zugriff auf die Apache Felix Web Management Console.
Das Kennwort muss nach der ersten Installation geändert werden, damit die Sicherheit Ihrer Instanz gewährleistet ist.
So ändern Sie das Administratorpasswort der OSGi-Web-Konsole:
-
Öffnen Sie über das Menü Tools, Vorgänge die Web-Konsole und navigieren Sie zum Abschnitt Konfiguration.
Zum Beispiel unter<server>:<port>/system/console/configMgr
. -
Navigieren Sie zum Eintrag für die Management-Konsole für Apache Felix OSGi und öffnen Sie ihn.
-
Ändern Sie den Benutzernamen und das Kennwort.
-
Wählen Sie Speichern aus.
Implementieren eines benutzerdefinierten Fehler-Handlers implement-custom-error-handler
Adobe empfiehlt, benutzerdefinierte Fehler-Handler-Seiten festzulegen, insbesondere für die HTTP-Antwort-Codes 404 und 500, um die Offenlegung von Informationen zu verhindern.
Vollständige Dispatcher-Sicherheits-Checkliste complete-dispatcher-security-checklist
AEM Dispatcher ist ein wichtiger Teil Ihrer Infrastruktur. Adobe empfiehlt dringend, dass Sie die Dispatcher-Sicherheitscheckliste durchgehen.
Überprüfungsschritte verification-steps
Konfigurieren von Replikations- und Transport-Benutzenden configure-replication-and-transport-users
Bei einer Standardinstallation von AEM wird admin
als Benutzer für die Transport-Anmeldedaten in den Standard-Replikationsagenten angegeben. Außerdem werden Admin-Benutzende verwendet, um die Replikation auf dem Autorensystem zu beziehen.
Aus Sicherheitsgründen sollten beide geändert werden, um dem jeweiligen Anwendungsfall Rechnung zu tragen, wobei die beiden folgenden Aspekte zu berücksichtigen sind:
-
Transport-Benutzer dürfen keine Admin-Benutzer sein. Richten Sie stattdessen einen Benutzer im Veröffentlichungssystem ein, der nur über Zugriffsrechte für die relevanten Teile des Veröffentlichungssystems verfügt, und verwenden Sie die Anmeldeinformationen dieses Benutzers für den Transport.
Sie können mit dem gebündelten Benutzer „Replikations-Empfänger“ beginnen und die Zugriffsrechte dieses Benutzenden so konfigurieren, dass sie Ihren Anforderungen entsprechen.
-
Der Replikationsbenutzer oder die Agenten-Benutzer-ID sollte auch nicht der Admin-Benutzer sein, sondern ein Benutzer, der nur replizierte Inhalte sehen kann. Der Replikationsbenutzende wird auch zum Erfassen von Inhalten verwendet, die auf dem Autorensystem repliziert werden sollen, bevor sie an den Publisher gesendet werden.
Überprüfen der Sicherheitskonsistenzprüfungen im Vorgangs-Dashboard check-the-operations-dashboard-security-health-checks
Mit AEM 6 wird das neue Vorgangs-Dashboard eingeführt, das Systembetreibenden bei der Fehlerbehebung und der Überwachung des Status einer Instanz helfen soll.
Das Dashboard enthält außerdem eine Sammlung von Sicherheitskonsistenzprüfungen. Es wird empfohlen, den Status aller Sicherheitskonsistenzprüfungen zu überprüfen, bevor Sie mit Ihrer Produktionsinstanz live gehen. Weitere Informationen dazu finden Sie in der Dokumentation zum Vorgangs-Dashboard.
Überprüfen, ob Beispielinhalte vorhanden sind check-if-example-content-is-present
Alle Beispielinhalte und -benutzer (z. B. das Geometrixx-Projekt und seine Komponenten) sollten deinstalliert und vollständig von einem Produktionssystem gelöscht sein, bevor es öffentlich zugänglich gemacht wird.
We.Retail
-Beispielanwendungen werden entfernt, wenn diese Instanz im produktionsbereiten Modus ausgeführt wird. Wenn dieses Szenario nicht zutrifft, können Sie den Beispielinhalt deinstallieren, indem Sie zum Package Manager navigieren und alle We.Retail
-Pakete suchen und deinstallieren.Siehe Arbeiten mit Paketen.
Überprüfen, ob die CRX-Entwicklungs-Bundles vorhanden sind check-if-the-crx-development-bundles-are-present
Diese Entwicklungs-OSGi-Bundles sollten sowohl auf Autoren- als auch auf Veröffentlichungs-Produktionssystemen deinstalliert werden, bevor diese verfügbar gemacht werden.
- Adobe CRXDE-Unterstützung (com.adobe.granite.crxde-support)
- Adobe Granite CRX-Explorer (com.adobe.granite.crx-explorer)
- Adobe Granite CRXDE Lite (com.adobe.granite.crxde-lite)
Überprüfen, ob das Sling-Entwicklungs-Bundle vorhanden ist check-if-the-sling-development-bundle-is-present
AEM Developer Tools stellt das Tool „Apache Sling Tooling Support Install“ (org.apache.sling.tooling.support.install) bereit.
Dieses OSGi-Bundle sollte sowohl auf Autoren- als auch auf Veröffentlichungs-Produktionssystemen deinstalliert werden, bevor sie verfügbar gemacht werden.
Schutz vor Cross-Site Request-Forgery protect-against-cross-site-request-forgery
Das CSRF Protection Framework the-csrf-protection-framework
AEM 6.1 verfügt über einen Mechanismus namens CSRF Protection Framework, der vor Cross-Site Request Forgery-Angriffen (Website-übergreifende Anfragenfälschung) schützt. Weitere Informationen zur Verwendungsweise finden Sie in der entsprechenden Dokumentation.
Der Sling Referrer-Filter the-sling-referrer-filter
Um bekannte Sicherheitsprobleme mit Cross-Site Request-Forgery (CSRF) in CRX WebDAV und Apache Sling zu beheben, müssen Sie Konfigurationen für den Referrer-Filter hinzufügen, um ihn verwenden zu können.
Der Referrer-Filterdienst ist ein OSGi-Dienst, mit dem Sie Folgendes konfigurieren können:
-
welche HTTP-Methoden gefiltert werden sollen
-
Ob eine leere Referrer-Kopfzeile zulässig ist
-
Eine Whitelist von Servern, die zusätzlich zum Serverhost zugelassen werden sollen.
Standardmäßig sind alle Varianten von „localhost“ und die aktuellen Host-Namen, mit denen der Server verknüpft ist, in der Whitelist enthalten.
So konfigurieren Sie den Referrer-Filterdienst:
-
Öffnen Sie die Apache Felix-Konsole (Konfigurationen) unter:
https://<server>:<port_number>/system/console/configMgr
-
Melden Sie sich als
admin
an. -
Wählen Sie im Menü Konfigurationen folgende Option aus:
Apache Sling Referrer Filter
-
Geben Sie im Feld
Allow Hosts
alle Hosts ein, die als Referrer zugelassen werden sollen. Jeder Eintrag muss folgendes Format aufweisen:<Protokoll>://<Server>:<Port>
Beispiel:
https://allowed.server:80
: Alle Anfragen von diesem Server mit dem angegebenen Port sind zugelassen.- Wenn Sie auch HTTPS-Anfragen zulassen wollen, müssen Sie eine zweite Zeile eingeben.
- Falls Sie alle Ports dieses Servers zulassen wollen, können Sie als Port-Nummer eine
0
eingeben.
-
Aktivieren Sie das Feld
Allow Empty
, wenn Sie leere/fehlende Referrer-Kopfzeilen zulassen möchten.note caution CAUTION Wenn Sie Befehlszeilen-Tools wie cURL
verwenden, wird empfohlen, einen Referrer anzugeben, anstatt einen leeren Wert zuzulassen, da andernfalls das Risiko besteht, dass Ihr System CSRF-Angriffen ausgesetzt ist. -
Bearbeiten Sie die Methoden, die dieser Filter für Prüfungen verwenden soll, über das Feld
Filter Methods
. -
Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
OSGi-Einstellungen osgi-settings
Einige OSGi-Einstellungen sind standardmäßig festgelegt, um das Debugging der Anwendung zu erleichtern. Ändern Sie diese Einstellungen in Ihren Publishing- und Authoring-Produktionsinstanzen, um zu verhindern, dass interne Informationen an die Öffentlichkeit weitergegeben werden.
Sie müssen für jeden der folgenden Dienste die angegebenen Einstellungen ändern:
-
Adobe Granite HTML Library Manager:
- Aktivieren Sie Minimieren (um CRLF- und Leerzeichen zu entfernen).
- Aktivieren Sie gzip (damit Dateien ins gzip-Format komprimiert und mit einer Anfrage aufgerufen werden können).
- Deaktivieren Sie Debuggen.
- Deaktivieren Sie Zeitplanung.
-
- Entfernen Sie den Haken bei Aktivieren.
-
- Legen Sie die Option WCM-Modus nur auf der Veröffentlichungsinstanz auf „Deaktiviert“ fest.
-
Apache Sling JavaScript Handler:
- Deaktivieren Sie die Funktion zum Erzeugen von Debug-Informationen.
-
Apache Sling JSP Script Handler:
- Deaktivieren Sie Generate Debug Info.
- Deaktivieren Sie Mapped Content.
Weitere Informationen finden Sie unter OSGi-Konfigurationseinstellungen.
Bei der Verwendung von AEM gibt es mehrere Methoden zur Verwaltung der Konfigurationseinstellungen für solche Dienste. Weitere Informationen und empfohlene Praktiken finden Sie unter Konfigurieren von OSGi.
Weitere Informationen further-readings
Vermeiden von Denial-of-Service (DoS)-Angriffen mitigate-denial-of-service-dos-attacks
Ein Denial-of-Service-Angriff (DoS) zielt darauf ab, eine Computer-Ressource für die vorgesehenen Benutzenden unzugänglich zu machen. Dies geschieht häufig, indem die Ressource überlastet wird, zum Beispiel:
-
durch eine Flut von Anfragen von einer externen Quelle;
-
durch eine Anforderung von mehr Informationen, als das System erfolgreich bereitstellen kann.
Beispiel: Eine JSON-Darstellung des gesamten Repositorys.
-
Wenn eine Seite mit einer unbegrenzten Anzahl an URLs angefordert wird, kann die URL einen Handler, einige Selektoren, eine Erweiterung und einen Suffix enthalten. Diese Elemente können alle geändert werden.
So kann
.../en.html
angefordert werden als:.../en.ExtensionDosAttack
.../en.SelectorDosAttack.html
.../en.html/SuffixDosAttack
Alle gültigen Varianten (geben z. B. die Antwort
200
zurück und werden zur Zwischenspeicherung konfiguriert) werden vom Dispatcher zwischengespeichert, was letztendlich zu einem vollen Dateisystem führt, sodass kein Dienst für weitere Anfragen verfügbar ist.
Es gibt viele Konfigurationsmöglichkeiten, um solche Angriffe zu verhindern. Hier gehen wir jedoch nur auf die ein, die direkt für AEM relevant sind.
Konfigurieren von Sling zum Verhindern von DoS
Sling ist inhaltzentriert. Dies bedeutet, dass sich die Verarbeitung auf den Inhalt konzentriert, da jede (HTTP-)Anfrage Inhalten in Form einer JCR-Ressource (eines Repository-Knotens) zugeordnet wird:
- Das erste Ziel ist die Ressource (JCR-Knoten), die die Inhalte enthält.
- Zweitens wird der Renderer (oder das Skript) aus den Ressourceneigenschaften in Kombination mit bestimmten Teilen der Anfrage (z. B. Selektoren und/oder der Erweiterung) ermittelt
Weitere Einzelheiten hierzu finden Sie unter Verarbeitung von Sling-Anfragen.
Durch diesen Ansatz wird Sling zu einem leistungsstarken und flexiblen Tool, aber wie immer muss mit der Flexibilität sorgfältig umgegangen werden.
So verhindern Sie einen Missbrauch infolge von DoS-Angriffen:
-
Binden Sie Kontrollen auf Anwendungsebene ein. Aufgrund der Anzahl der möglichen Varianten ist eine Standardkonfiguration nicht praktikabel.
In Ihrem Programm sollten Sie Folgendes tun:
- die Selektoren in der Anwendung steuern, sodass Sie nur die erforderlichen expliziten Selektoren verwenden und für alle anderen den Wert
404
zurückgeben. - Verhindern Sie die Ausgabe einer unbegrenzten Anzahl von Inhaltsknoten.
- die Selektoren in der Anwendung steuern, sodass Sie nur die erforderlichen expliziten Selektoren verwenden und für alle anderen den Wert
-
Überprüfen Sie die Konfiguration der Standard-Renderer, was ein Problembereich sein kann.
-
Insbesondere der JSON-Renderer, der die Baumstruktur über mehrere Ebenen hinweg durchlaufen kann.
Beispiel: Die Anfrage
http://localhost:4502/.json
könnte das gesamte Repository in einer JSON-Darstellung abbilden, was zu erheblichen Server-Problemen führen kann. Aus diesem Grund legt Sling eine Begrenzung für die maximale Anzahl der Ergebnisse fest. Um die Tiefe des JSON-Renderings zu begrenzen, können Sie den Wert für
Max. JSON-Ergebnisse (
json.maximumresults
)in der Konfiguration für das Apache Sling GET Servlet festlegen. Wenn dieser Grenzwert überschritten wird, wird das Rendering abgebrochen. Der Standardwert für Sling innerhalb von AEM ist
1000
. -
Deaktivieren Sie als vorbeugende Maßnahme die anderen Standard-Renderer (HTML, einfacher Text, XML). Dies erreichen Sie erneut, indem Sie das Apache Sling-GET-Servlet konfigurieren.
note caution CAUTION Deaktivieren Sie nicht den JSON-Renderer, denn dieser ist für den normalen Betrieb von AEM erforderlich. -
-
Verwenden Sie eine Firewall, um den Zugriff auf Ihre Instanz zu filtern.
- Die Verwendung einer Firewall auf Betriebssystemebene ist erforderlich, um den Zugriff auf Punkte Ihrer Instanz zu filtern, die zu Denial-of-Service-Angriffen führen können, wenn sie ungeschützt bleiben.
Abmildern von DoS mithilfe der Formularauswahl
Da AEM keine vorkonfigurierten Indizes für FormChooserServlet
bereitstellt, löst die Verwendung der Formularauswahl in Abfragen einen aufwändigen Repository-Durchlauf aus, der meist die AEM-Instanz zum Stoppen bringt. Formularauswahl-Instanzen können anhand der Zeichenfolge *.form.* in Abfragen erkannt werden.
Um dieses Problem abzumildern, können Sie die folgenden Schritte durchführen:
-
Gehen Sie zur Web-Konsole, indem Sie im Browser https://<Server-Adresse>:<Serverport>/system/console/configMgr aufrufen.
-
Suchen Sie nach Day CQ WCM Form Chooser Servlet.
-
Klicken Sie auf den Eintrag und deaktivieren Sie im folgenden Fenster die Option Advanced Search Require (Erweiterte Suche erforderlich).
-
Klicken Sie auf Speichern.
Schützen gegen durch Asset-Download-Servlets ausgelöste DoS
Das standardmäßige Asset-Download-Servlet ermöglicht es authentifizierten Benutzerinnen und Benutzern, beliebig große, gleichzeitige Download-Anfragen zur Erstellung von ZIP-Dateien von Assets zu stellen. Das Erstellen großer ZIP-Archive kann den Server und das Netzwerk überlasten. Um ein mögliches DoS-Risiko (Denial of Service) zu reduzieren, das durch dieses Verhalten verursacht wird, AssetDownloadServlet
ist die OSGi-Komponente auf der Experience Manager-Veröffentlichungsinstanz standardmäßig deaktiviert. Auf der Experience Manager-Autoreninstanz ist sie standardmäßig aktiviert.
Wenn Sie die Download-Funktion nicht benötigen, deaktivieren Sie das Servlet auf Authoring- und Publishing-Bereitstellungen. Wenn Sie die Asset-Download-Funktion im Rahmen Ihrer Einrichtung aktivieren müssen, finden Sie weitere Informationen unter Herunterladen von Assets aus Adobe Experience Manager. Sie können auch eine maximale Download-Grenze definieren, die Ihre Bereitstellung unterstützen kann.
Deaktivieren von WebDAV disable-webdav
WebDAV sollte sowohl in der Authoring- als auch in der Publishing-Umgebung deaktiviert sein. Dies kann durch Anhalten der entsprechenden OSGi-Bundles erfolgen.
-
Stellen Sie eine Verbindung zur Felix-Management-Konsole her, ausgeführt unter:
https://<*host*>:<*port*>/system/console
Beispiel:
http://localhost:4503/system/console/bundles
. -
Suchen Sie in der Liste der Bundles nach einem Bundle mit dem folgenden Namen:
Apache Sling Simple WebDAV Access to repositories (org.apache.sling.jcr.webdav)
-
Klicken Sie in der Spalte „Aktionen“ auf die Schaltfläche „Anhalten“, um dieses Bundle anzuhalten.
-
Suchen Sie in der Liste der Bundles nach einem Bundle mit dem folgenden Namen:
Apache Sling DavEx Access to repositories (org.apache.sling.jcr.davex)
-
Klicken Sie auf den Button „Anhalten“, um dieses Bundle anzuhalten.
note note NOTE Ein Neustart von AEM ist nicht erforderlich.
Sicherstellen, dass keine personenbezogenen Informationen im Home-Pfad von Benutzern offengelegt werden verify-that-you-are-not-disclosing-personally-identifiable-information-in-the-users-home-path
Es ist wichtig, dass Sie Ihre Benutzer bzw. Benutzerinnen schützen, indem Sie sicherstellen, dass Sie keine persönlich identifizierbaren Informationen im Home-Pfad der Repository-Benutzer bzw. -Benutzerinnen bereitstellen.
Ab AEM 6.1 ändert sich mit der neuen Implementierung der Schnittstelle AuthorizableNodeName
die Art, wie Benutzer-ID-Knotennamen (auch als autorisierbare ID-Knotennamen bezeichnet) gespeichert werden. Die neue Benutzeroberfläche gibt die Benutzer-ID nicht mehr im Knotennamen aus, sondern generiert stattdessen einen Zufallsnamen.
Es muss keine Konfiguration vorgenommen werden, um sie zu aktivieren, da dies nun die Standardmethode zur Erzeugung autorisierbarer IDs in AEM ist.
Obwohl es nicht empfohlen wird, können Sie dies deaktivieren, falls Sie die alte Implementierung aus Gründen der Abwärtskompatibilität mit Ihren vorhandenen Anwendungen benötigen. Gehen Sie dazu wie folgt vor:
-
Navigieren Sie zur Web-Konsole und entfernen Sie den Eintrag org.apache.jackrabbit.oak.security.user.RandomAuthorizableNodeName aus der Eigenschaft requiredServicePids in Apache Jackrabbit Oak SecurityProvider.
Sie können den Oak Security Provider auch finden, indem Sie in den OSGi-Konfigurationen nach der PID org.apache.jackrabbit.oak.security.internal.SecurityProviderRegistration suchen.
-
Löschen Sie die OSGi-Konfiguration Apache Jackrabbit Oak Random Authorizable Node Name aus der Web-Konsole.
Um die Suche zu vereinfachen, beachten Sie, dass die PID für diese Konfiguration org.apache.jackrabbit.oak.security.user.RandomAuthorizableNodeName lautet.
Paket für anonyme Berechtigungs-Härtung anonymous-permission-hardening-package
Standardmäßig speichert AEM Systemmetadaten wie jcr:createdBy
oder jcr:lastModifiedBy
als Knoteneigenschaften neben regulären Inhalten im Repository. Abhängig von der Konfiguration und der Einrichtung der Zugriffssteuerung kann dies in einigen Fällen zur Offenlegung personenbezogener Daten führen, z. B. wenn solche Knoten als rohe JSON- oder XML-Dateien gerendert werden.
Wie alle Repository-Daten werden diese Eigenschaften durch den Oak-Autorisierungs-Stapel vermittelt. Der Zugriff auf sie sollte gemäß dem Grundsatz der geringsten Rechte eingeschränkt werden.
Adobe bietet ein Paket zur Berechtigungs-Härtung als Grundlage, um Kunden dabei zu unterstützen, hierauf aufzubauen. Es funktioniert durch die Installation eines Zugriffssteuerungseintrags „Verweigern“ im Repository-Stammverzeichnis, wodurch der anonyme Zugriff auf häufig verwendete Systemeigenschaften eingeschränkt wird. Das Paket kann heruntergeladen und auf allen unterstützten Versionen von AEM installiert werden.
Um die Änderungen zu veranschaulichen, können wir die Knoteneigenschaften, die vor der Installation des Pakets anonym angezeigt werden können:
mit den Optionen vergleichen, die nach der Installation des Pakets angezeigt werden können, wobei jcr:createdBy
und jcr:lastModifiedBy
nicht sichtbar sind:
Weitere Informationen finden Sie in den Versionshinweisen zu Paketen.
Verhindern von Clickjacking prevent-clickjacking
Um Clickjacking zu verhindern, sollten Sie Ihren Webserver so konfigurieren, dass er den HTTP-Header X-FRAME-OPTIONS
bereitstellt, der auf SAMEORIGIN
festgelegt ist.
Weitere Informationen zum Thema Clickjacking finden Sie auf der OWASP-Website.
Achten Sie bei Bedarf darauf, dass Verschlüsselungsschlüssel ordnungsgemäß repliziert werden. make-sure-you-properly-replicate-encryption-keys-when-needed
Bestimmte AEM-Funktionen und Authentifizierungsschemata erfordern, dass Sie Ihre Verschlüsselungsschlüssel über alle AEM-Instanzen hinweg replizieren.
Beachten Sie zunächst, dass die Schlüsselreplikation zwischen verschiedenen Versionen unterschiedlich ausgeführt wird, da die Art und Weise, in der Schlüssel in 6.3 gespeichert werden, von älteren Versionen abweicht.
Nachfolgenden finden Sie weitere Informationen.
Replizieren von Schlüsseln für AEM 6.3 replicating-keys-for-aem
Während in älteren Versionen die Replikationsschlüssel im Repository gespeichert wurden, werden sie ab AEM 6.3 im Dateisystem gespeichert.
Um Ihre Schlüssel über Instanzen hinweg zu replizieren, müssen Sie sie daher von der Quellinstanz an den Speicherort der Zielinstanzen im Dateisystem kopieren.
Im Einzelnen müssen Sie Folgendes tun:
-
Greifen Sie auf die AEM-Instanz zu, auf der sich die zu kopierenden Schlüsseldaten befinden. In der Regel handelt es sich dabei um eine Authoring-Instanz.
-
Suchen Sie im lokalen Dateisystem das Bundle com.adobe.granite.crypto.file. Es kann sich z. B. unter diesem Pfad befinden:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
Die in jedem Ordner befindliche Datei
bundle.info
identifiziert den Bundle-Namen. -
Navigieren Sie zum Ordner „data“. Beispiel:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
die HMAC- und Master-Dateien kopieren.
-
Navigieren Sie dann zur Zielinstanz, auf der Sie den HMAC-Schlüssel duplizieren möchten, und dann zum Ordner „data“. Beispiel:
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
Fügen Sie die beiden zuvor kopierten Dateien ein.
-
Aktualisieren Sie das Crypto-Bundle, wenn die Zielinstanz bereits ausgeführt wird.
-
Wiederholen Sie die vorherigen Schritte für alle Instanzen, zu denen Sie den Schlüssel replizieren möchten.
Replizieren von Schlüsseln in AEM 6.2 und älteren Versionen replicating-keys-for-aem-and-older-versions
In AEM 6.2 und älteren Versionen werden die Schlüssel im Repository im Knoten /etc/key
gespeichert.
Die empfohlene Methode zur sicheren Replikation der Schlüssel in allen Ihren Instanzen besteht darin, nur diesen Knoten zu replizieren. Sie können Knoten selektiv über CRXDE Lite replizieren:
- Öffnen von CRXDE Lite über
https://<serveraddress>:4502/crx/de/index.jsp
- Wählen Sie den
/etc/key
-Knoten aus. - Wechseln Sie zur Registerkarte Replikation.
- Klicken Sie auf die Schaltfläche Replikation.
Durchführen eines Penetrationstests perform-a-penetration-test
Adobe empfiehlt dringend, Ihre AEM-Infrastruktur vor dem Einsatz in einer Produktionsumgebung einem Penetrationstest zu unterziehen.
Best Practices für die Entwicklung development-best-practices
Es ist von kritischer Bedeutung, dass die neue Entwicklung den Best Practices für die Sicherheit entsprechen, um zu gewährleisten, dass Ihre AEM-Umgebung sicher bleibt.