Configurare le chiavi pubbliche e private da utilizzare con Adobe I/O

AEM utilizza coppie di chiavi pubblica/privata per comunicare in modo sicuro con Adobe I/O e altri servizi web. Questa breve esercitazione illustra come è possibile generare chiavi e keystore compatibili utilizzando lo strumento della riga di comando openssl che funziona sia con AEM che con Adobe I/O.

ATTENZIONE

Questa guida crea chiavi autofirmate utili per lo sviluppo e l’utilizzo in ambienti più bassi. In scenari di produzione, le chiavi vengono generalmente generate e gestite dal team di sicurezza IT di un'organizzazione.

Generare la coppia di chiavi pubblica/privata

Il comando openssl dello strumento della riga di comando req può essere utilizzato per generare una coppia di chiavi compatibile con Adobe I/O e Adobe Experience Manager.

$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate.crt

Per completare il comando openssl generate, fornisci le informazioni sul certificato quando richiesto. Adobe I/O e AEM non si interessano a quali sono questi valori, tuttavia dovrebbero allinearsi e descrivere la tua chiave.

Generating a 2048 bit RSA private key
...........................................................+++
...+++
writing new private key to 'private.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) []:Example Co
Organizational Unit Name (eg, section) []:Digital Marketing
Common Name (eg, fully qualified host name) []:com.example
Email Address []:me@example.com

Aggiungi una coppia di chiavi a un nuovo keystore

È possibile aggiungere coppie di chiavi a un nuovo PKCS12 keystore. Come parte del openssl’s pcks12 comando, il nome del keystore (tramite - caname), il nome della chiave (tramite -name) e la password del keystore (tramite - passout) sono definiti.

Questi valori sono necessari per caricare il keystore e le chiavi in AEM.

$ openssl pkcs12 -export -caname my-keystore -in certificate.crt -name my-key -inkey private.key -out keystore.p12 -passout pass:my-password

L'output di questo comando è un file keystore.p12.

NOTA

I valori dei parametri di my-keystore, my-key e my-password devono essere sostituiti dai valori personalizzati.

Verifica il contenuto del keystore

Lo strumento Java keytool riga di comando fornisce visibilità in un keystore per garantire che le chiavi siano caricate correttamente nel file keystore (keystore.p12).

$ keytool -keystore keystore.p12 -list

Enter keystore password: my-password

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

my-key, Feb 5, 2019, PrivateKeyEntry,
Certificate fingerprint (SHA1): 7C:6C:25:BD:52:D3:3B:29:83:FD:A2:93:A8:53:91:6A:25:1F:2D:52

Verificare l’archivio chiavi in Adobe I/O

Aggiunta del keystore a AEM

AEM utilizza la chiave privata generata per comunicare in modo sicuro con Adobe I/O e altri servizi web. Affinché la chiave privata sia accessibile a AEM, deve essere installata in un keystore AEM utente.

Passa a AEM > Strumenti > Sicurezza > Utenti e modifica l'utente a cui deve essere associata la chiave privata.

Creare un AEM keystore

Crea KeyStore in
AEM > Strumenti > Sicurezza > Utenti > Modifica utente

Se viene richiesto di creare un archivio chiavi, eseguire questa operazione. Questo keystore esisterà solo in AEM e NON è il keystore creato tramite openssl. La password può essere qualsiasi cosa e non deve essere la stessa utilizzata nel comando openssl .

Installare la chiave privata tramite il keystore

Aggiungi chiave privata in
AEMUser > Registro chiavi > Aggiungi chiave privata da keystore

Nella console dell'archivio chiavi dell'utente, fai clic su Aggiungi chiave privata dal file KeyStore e aggiungi le seguenti informazioni:

  • Nuovo alias: l'alias della chiave in AEM. Questo può essere qualsiasi cosa e non deve corrispondere al nome del keystore creato con il comando openssl.
  • File KeyStore: l'output del comando openssl pkcs12 (keystore.p12)
  • Password file KeyStore: La password impostata nel comando openssl pkcs12 tramite -passout argomento.
  • Alias chiave privata: Il valore fornito all' -name argomento nel comando openssl pkcs12 di cui sopra (cioè my-key).
  • Password chiave privata: La password impostata nel comando openssl pkcs12 tramite -passout argomento.
ATTENZIONE

La password del file KeyStore e la password della chiave privata sono uguali per entrambi gli input. Se si immette una password non corrispondente, la chiave non verrà importata.

Verifica che la chiave privata sia caricata nell'archivio chiavi AEM

Verificare la chiave privata in
AEMUser > Keystore

Quando la chiave privata viene caricata correttamente dall'archivio chiavi fornito nell'archivio chiavi AEM, i metadati della chiave privata vengono visualizzati nella console dell'archivio chiavi dell'utente.

Aggiunta della chiave pubblica all’Adobe I/O

La chiave pubblica corrispondente deve essere caricata in Adobe I/O per consentire all’utente del servizio AEM, che ha la chiave pubblica corrispondente privata di comunicare in modo sicuro.

Creare un Adobe I/O di nuova integrazione

Creare un Adobe I/O di nuova integrazione

Creare un’integrazione di Adobe I/O > Nuova integrazione

La creazione di una nuova integrazione in Adobe I/O richiede il caricamento di un certificato pubblico. Carica il certificate.crt generato dal comando openssl req.

Verifica che le chiavi pubbliche siano caricate in Adobe I/O

Verifica chiavi pubbliche nell’Adobe I/O

Le chiavi pubbliche installate e le relative date di scadenza sono elencate ad Adobe I/O nella console Integrazioni . È possibile aggiungere più chiavi pubbliche tramite il pulsante Aggiungi una chiave pubblica .

Ora AEM tenere la chiave privata e l'integrazione Adobe I/O detiene la chiave pubblica corrispondente, consentendo AEM comunicare in modo sicuro con l'Adobe I/O.

In questa pagina