Configuration de clés publiques et privées à utiliser avec Adobe I/O

aem utilise des paires clé publique/clé privée pour communiquer en toute sécurité avec Adobe I/O et d’autres services Web. Ce court didacticiel illustre comment générer des clés et des fichiers de stockage de clés compatibles à l'aide de l'outil de ligne de commande openssl qui fonctionne avec AEM et Adobe I/O.

ATTENTION

Ce guide crée des clés autosignées utiles pour le développement et l’utilisation dans les environnements inférieurs. Dans les scénarios de production, les clés sont généralement générées et gérées par l’équipe de sécurité informatique d’une entreprise.

Générer la paire de clés publique/privée

La commande openssl de l'outil de ligne de commande req peut être utilisée pour générer une paire de clés compatible avec Adobe I/O et Adobe Experience Manager.

$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate.crt

Pour exécuter la commande openssl generate, fournissez les informations relatives au certificat lorsque cela est demandé. Adobe I/O et AEM ne se soucient pas de ce que sont ces valeurs, mais ils doivent s'aligner sur et décrire votre clé.

Generating a 2048 bit RSA private key
...........................................................+++
...+++
writing new private key to 'private.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) []:Example Co
Organizational Unit Name (eg, section) []:Digital Marketing
Common Name (eg, fully qualified host name) []:com.example
Email Address []:me@example.com

Ajouter la paire de clés à un nouveau fichier de stockage de clés

Les paires de clés peuvent être ajoutées à un nouveau fichier de stockage de clés PKCS12. Dans le cadre de la commande openssl’s pcks12 , le nom du fichier de stockage de clés (par - caname), le nom de la clé (par -name) et le mot de passe du fichier de stockage de clés (par - passout) sont définis.

Ces valeurs sont requises pour charger le fichier de stockage des clés et les clés dans AEM.

$ openssl pkcs12 -export -caname my-keystore -in certificate.crt -name my-key -inkey private.key -out keystore.p12 -passout pass:my-password

La sortie de cette commande est un fichier keystore.p12.

REMARQUE

Les valeurs de paramètre my-keystore, my-key et my-password doivent être remplacées par vos propres valeurs.

Vérification du contenu du fichier de stockage des clés

L'outil de ligne de commande Java keytool permet de visualiser les clés d'un fichier de stockage de clés pour s'assurer qu'elles sont correctement chargées dans le fichier de stockage de clés (keystore.p12).

$ keytool -keystore keystore.p12 -list

Enter keystore password: my-password

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

my-key, Feb 5, 2019, PrivateKeyEntry,
Certificate fingerprint (SHA1): 7C:6C:25:BD:52:D3:3B:29:83:FD:A2:93:A8:53:91:6A:25:1F:2D:52

Vérifier le magasin de clés en Adobe I/O

Ajouter le fichier de stockage des clés à AEM

aem utilise la clé privée générée pour communiquer en toute sécurité avec Adobe I/O et d'autres services Web. Pour que la clé privée soit accessible à AEM, elle doit être installée dans le fichier de stockage des clés d’un utilisateur AEM.

Accédez à AEM > Outils > Sécurité > Utilisateurs et modifier l'utilisateur auquel la clé privée doit être associée.

Création d’un fichier de stockage de clés AEM

Créer KeyStore dans
AEMAEM > Outils > Sécurité > Utilisateurs > Modifier l’utilisateur

Si vous êtes invité à créer un fichier de stockage de clés, faites-le. Ce fichier de stockage de clés n'existera qu'en AEM et n'est PAS le fichier de stockage de clés créé par openssl. Le mot de passe peut être n'importe quoi et ne doit pas être identique au mot de passe utilisé dans la commande openssl.

Installez la clé privée via le fichier de stockage des clés.

Ajouter la clé privée dans
AEMUser > Keystore > Ajouter la clé privée à partir du keystore

Dans la console de stockage des clés de l’utilisateur, cliquez sur Ajouter la clé privée à partir du fichier KeyStore et ajoutez les informations suivantes :

  • Nouvel alias : l’alias de la clé en AEM. Il peut s’agir de n’importe quoi et ne doit pas nécessairement correspondre au nom du fichier de stockage de clés créé avec la commande openssl.
  • Fichier KeyStore : sortie de la commande openssl pkcs12 (keystore.p12)
  • KeyStore File Password : Mot de passe défini dans la commande openssl pkcs12 par -passout argument.
  • Alias de clé privée : Valeur fournie à l' -name argument dans la commande openssl pkcs12 ci-dessus (c.-à-d. my-key).
  • Mot de passe de clé privée : Mot de passe défini dans la commande openssl pkcs12 par -passout argument.
ATTENTION

Le mot de passe du fichier KeyStore et le mot de passe de la clé privée sont identiques pour les deux entrées. La saisie d’un mot de passe non concordant entraîne l’importation de la clé.

Vérifiez que la clé privée est chargée dans le fichier de stockage des clés AEM

Vérifier la clé privée dans
AEMUser > Keystore

Une fois que la clé privée a été chargée à partir du fichier de stockage de clés fourni dans le fichier de stockage de clés AEM, les métadonnées de la clé privée s’affichent dans la console de stockage de clés de l’utilisateur.

Ajouter la clé publique à Adobe I/O

La clé publique correspondante doit être téléchargée en Adobe I/O pour permettre à l’utilisateur du service d’AEM, qui dispose de la clé publique privée correspondante pour communiquer en toute sécurité.

Créer une nouvelle intégration Adobe I/O

Créer une nouvelle intégration Adobe I/O

Créer une intégration Adobe I/O > Nouvelle intégration

La création d’une nouvelle intégration dans Adobe I/O nécessite le transfert d’un certificat public. Téléchargez le certificat.crt généré par la commande openssl req.

Vérifiez que les clés publiques sont chargées en Adobe I/O

Vérification des clés publiques en Adobe I/O

Les clés publiques installées et leurs dates d'expiration sont répertoriées dans la console Intégrations d'Adobe I/O. Vous pouvez ajouter plusieurs clés publiques par le biais du bouton Ajouter une clé publique.

Maintenant AEM tenez la clé privée et l'intégration Adobe I/O détient la clé publique correspondante, ce qui permet aux AEM de communiquer en toute sécurité avec Adobe I/O.

Sur cette page

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free