AEM as a Cloud Service 安全注意事项 security-considerations
AEM 信任库 aem-trust-store
为了支持非对称加密操作,AEM 将证书存储在内容存储库中的全局信任库中。其内容是公开的,默认情况下,可供发布者实例上的所有人匿名访问。
信任库的特征 truststore-characteristics
-
信任库位于
/etc/truststore下方,由 Java™ 密钥库文件、密钥库密码和存储库元数据组成。由于技术原因,密码和密钥库均已加密,但每个人默认情况下都可以通过 API 访问包含的证书 -
现成的证书仅用于 HTTPS 和 SAML 支持,并且必须先手动创建存储
-
客户可以通过密钥库 API 在自己的代码中使用它
-
可以通过 UI(位于 工具 – 安全性 – 信任库)或通过访问
https://serveraddress:serverport/libs/granite/security/content/truststore.html管理信任库,如下所示:
-
可以根据用例,通过存储库访问控制来进一步限制对信任库的访问。
NOTE
Adobe 建议对信任库使用默认访问控制,这表示该库仍可公开访问。若要实施最安全的配置,您可以对所有人使用拒绝
jcr:all 策略。recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab