- Administering用户指南概述
- 站点功能
- 操作
- 安全
- 用户管理和安全
- 用户、组和访问权限管理
- 安全检查列表
- OWASP前10
- 在生产就绪模式下运行AEM
- 身份管理
- 对AEM Managed Services的Adobe IMS身份验证和Admin Console支持
- 创建封闭用户组
- 在AEM中缓解序列化问题
- 用户同步
- 封装的令牌支持
- 单点登录
- 如何在AEM中审核用户管理操作
- 默认情况下为SSL
- SAML 2.0 身份验证处理程序
- AEM中的已关闭用户组
- Granite操作 — 用户和组管理
- 在AEM中启用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安装时配置管理员密码
- AEM中的服务用户
- 对配置属性的加密支持
- 为AEM Foundation处理GDPR请求
- 权限管理的主体视图
- 内容处置过滤器
- AEM 6.5中的自定义用户组映射
- 同一网站Cookie支持
- 个性化
- 集成
- 与第三方服务集成
- 与 Salesforce 集成
- 与 Adobe Target 集成
- 与 Adobe Analytics 集成
- 连接到Adobe Analytics和创建框架
- 为Adobe Analytics配置链接跟踪
- 使用Adobe Analytics属性映射组件数据
- 为Adobe Analytics配置视频跟踪
- HTTP2 内容交付常见问题解答
- Adobe Campaign集成故障诊断
- SharePoint连接器许可证、版权声明和免责声明
- SharePoint Connector
- DHTML 查看器生命周期结束常见问题解答
- 与Adobe Campaign Classic集成
- 相关社区文章
- 与Adobe Campaign Standard集成
- Flash 查看器生命周期终止通知
- 产品信息源
- 与Adobe动态标签管理集成
- 选择加入Adobe Analytics和Adobe Target
- AEM门户和Portlet
- 与Dynamic Media Classic集成(Scene7)
- AEM Livefyre 指南
- 集成问题疑难解答
- 与BrightEdge Content Optimizer集成
- 目录制作者
- 与Silverpop Engage集成
- 与Adobe Campaign集成
- 与ExactTarget集成
- Analytics与外部提供程序
- 与Adobe Marketing Cloud集成
- 手动配置与Adobe Target的集成
- 与Adobe Target集成的先决条件
- 使用Adobe Target与Adobe I/O集成
- Adobe分类
- 与AdobeSearch&Promote集成
- 解决方案集成
- 将体验片段导出到Adobe Target
- 电子邮件模板最佳实践
- 与 Livefyre 集成
- 最佳实践
- 内容管理
默认情况下为SSL
为了持续提高AEM的安全性,Adobe引入了“默认为SSL”功能。 其目的是鼓励使用HTTPS连接到AEM实例。
默认启用SSL
您可以通过单击AEM主屏幕中的相关收件箱消息来开始配置SSL(默认情况下)。 要访问收件箱,请按屏幕右上角的铃铛图标。 然后,单击查看全部。 这将显示列表视图中排序的所有警报的列表。
在列表中,选择并打开配置HTTPS警报:
如果收件箱中不存在配置HTTPS警报,则可以通过转到*http://serveraddress:serverport/libs/granite/security/content/sslConfig.html?item=configuration%2Fconfiguressl&_charset_=utf-8*直接导航到HTTPS向导
已为此功能创建名为ssl-service的服务用户。 打开警报后,将引导您完成以下配置向导:
-
首先,设置存储凭据。 这些是ssl-service系统用户密钥存储的凭据,将包含HTTPS侦听器的私钥和信任存储。
-
输入凭据后,单击页面右上角的Next。 然后,上载SSL连接的关联私钥和证书。
注意有关如何生成私钥和证书以与向导一起使用的信息,请参阅下面的此过程。
-
最后,为HTTPS侦听器指定HTTPS主机名和TCP端口。
默认情况下自动化SSL
默认情况下,有三种方法可自动执行SSL。
通过HTTPPOST
第一种方法是将内容发布到配置向导正在使用的SSLSetup服务器:
POST /libs/granite/security/post/sslSetup.html
您可以在POST中使用以下有效负载来自动配置:
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="keystorePassword"
test
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="keystorePasswordConfirm"
test
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="truststorePassword"
test
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="truststorePasswordConfirm"
test
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="privatekeyFile"; filename="server.der"
Content-Type: application/x-x509-ca-cert
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="certificateFile"; filename="server.crt"
Content-Type: application/x-x509-ca-cert
------WebKitFormBoundaryyBO4ArmGlcfdGDbs
Content-Disposition: form-data; name="httpsPort"
8443
Servlet与任何slingPOSTServlet一样,将做出响应,显示200 OK或错误HTTP状态代码。 您可以在响应的HTML主体中找到有关状态的详细信息。
以下是成功响应和错误的示例。
成功示例 (状态= 200):
<!DOCTYPE html>
<html lang='en'>
<head>
<title>OK</title>
</head>
<body>
<h1>OK</h1>
<dl>
<dt class='foundation-form-response-status-code'>Status</dt>
<dd>200</dd>
<dt class='foundation-form-response-status-message'>Message</dt>
<dd>SSL successfully configured</dd>
<dt class='foundation-form-response-title'>Title</dt>
<dd>OK</dd>
<dt class='foundation-form-response-description'>Description</dt>
<dd>HTTPS has been configured on port 8443. The private key and
certificate were stored in the key store of the user ssl-service.
Please take note of the key store password you provided. You will need
it for any subsequent updating of the private key or certificate.</dd>
</dl>
<h2>Links</h2>
<ul class='foundation-form-response-links'>
<li><a class='foundation-form-response-redirect' href='/'>Done</a></li>
</ul>
</body>
</html>
错误示例 (状态= 500):
<!DOCTYPE html>
<html lang='en'>
<head>
<title>Error</title>
</head>
<body>
<h1>Error</h1>
<dl>
<dt class='foundation-form-response-status-code'>Status</dt>
<dd>500</dd>
<dt class='foundation-form-response-status-message'>Message</dt>
<dd>The provided file is not a valid key, DER format expected</dd>
<dt class='foundation-form-response-title'>Title</dt>
<dd>Error</dd>
</dl>
</body>
</html>
通过包
或者,您也可以通过上载已包含以下必需项目的包来自动设置SSL:
- ssl-service用户的密钥库。 它位于存储库的/home/users/system/security/ssl-service/keystore下。
GraniteSslConnectorFactory配置
生成要与向导一起使用的私钥/证书对
在下面,您将找到一个示例,用于创建DER格式的自签名证书,SSL向导可以使用该证书。 根据操作系统安装OpenSSL,打开OpenSSL命令提示符,然后将目录更改为要在其中生成私钥/证书的文件夹。
自签名证书的使用仅供使用,不应在生产中使用。
-
首先,创建私钥:
openssl genrsa -aes256 -out localhostprivate.key 4096 openssl rsa -in localhostprivate.key -out localhostprivate.key -
然后,使用私钥生成证书签名请求(CSR):
openssl req -sha256 -new -key localhostprivate.key -out localhost.csr -subj "/CN=localhost" -
生成SSL证书并使用私钥对其进行签名。 在本例中,将从现在起一年到期:
openssl x509 -req -days 365 -in localhost.csr -signkey localhostprivate.key -out localhost.crt
将私钥转换为DER格式。 这是因为SSL向导要求键采用DER格式:
openssl pkcs8 -topk8 -inform PEM -outform DER -in localhostprivate.key -out localhostprivate.der -nocrypt
最后,在本页开头所述的图形SSL向导步骤2中,将localhostprivate.der上载为私钥,并将localhost.crt上载为SSL证书。
通过cURL更新SSL配置
有关AEM中有用cURL命令的集中列表,请参阅将cURL与AEM一起使用。
您还可以使用cURL工具自动配置SSL。 您可以通过将配置参数发布到此URL来执行此操作:
https://<serveraddress>:<serverport>/libs/granite/security/post/sslSetup.html
以下是在配置向导中更改各种设置的参数:
-
-F "keystorePassword=password"— 密钥库密码; -
-F "keystorePasswordConfirm=password"— 确认密钥库密码; -
-F "truststorePassword=password"— 信任存储密码; -
-F "truststorePasswordConfirm=password"— 确认信任存储密码; -
-F "privatekeyFile=@localhostprivate.der"— 指定私钥; -
-F "certificateFile=@localhost.crt"— 指定证书; -
-F "httpsHostname=host.example.com"— 指定主机名; -
-F "httpsPort=8443"- HTTPS侦听器将使用的端口。
运行cURL以自动化SSL配置的最快捷方式是从DER和CRT文件所在的文件夹中运行。 或者,您也可以在privatekeyFile和certificateFile参数中指定完整路径。
您还需要进行身份验证才能执行更新,因此请确保将cURL命令附加到-u user:passeword参数。
正确的cURL post命令应当如下所示:
curl -u user:password -F "keystorePassword=password" -F "keystorePasswordConfirm=password" -F "truststorePassword=password" -F "truststorePasswordConfirm=password" -F "privatekeyFile=@localhostprivate.der" -F "certificateFile=@localhost.crt" -F "httpsHostname=host.example.com" -F "httpsPort=8443" https://host:port/libs/granite/security/post/sslSetup.html
使用cURL的多个证书
您可以通过重复以下certificateFile参数,向Servlet发送一系列证书:
-F "certificateFile=@root.crt" -F "certificateFile=@localhost.crt"..
执行命令后,请确认已将所有证书发送到密钥库。 从以下位置检查KeyStore:
http://localhost:4502/libs/granite/security/content/userEditor.html/home/users/system/security/ssl-service
