Configurare le chiavi pubbliche e private da utilizzare con Adobe I/O

AEM utilizza coppie di chiavi pubblica/privata per comunicare in modo sicuro con Adobe I/O e altri servizi web. Questa breve esercitazione illustra come è possibile generare chiavi e keystore compatibili utilizzando openssl strumento a riga di comando che funziona sia con AEM che con Adobe I/O.

ATTENZIONE

Questa guida crea chiavi autofirmate utili per lo sviluppo e l’utilizzo in ambienti più bassi. In scenari di produzione, le chiavi vengono generalmente generate e gestite dal team di sicurezza IT di un'organizzazione.

Generare la coppia di chiavi pubblica/privata

La openssl dello strumento della riga di comando req command può essere utilizzato per generare una coppia di chiavi compatibile con Adobe I/O e Adobe Experience Manager.

$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate.crt

Per completare la openssl generate fornire le informazioni sul certificato quando richiesto. Adobe I/O e AEM non si interessano a quali sono questi valori, tuttavia dovrebbero allinearsi e descrivere la tua chiave.

Generating a 2048 bit RSA private key
...........................................................+++
...+++
writing new private key to 'private.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) []:Example Co
Organizational Unit Name (eg, section) []:Digital Marketing
Common Name (eg, fully qualified host name) []:com.example
Email Address []:me@example.com

Aggiungi una coppia di chiavi a un nuovo keystore

È possibile aggiungere coppie chiave a un nuovo PKCS12 keystore. Come parte di openssl’s pcks12 comando, il nome del keystore (tramite - caname), il nome della chiave (tramite -name) e la password del keystore (tramite - passout) sono definite.

Questi valori sono necessari per caricare il keystore e le chiavi in AEM.

$ openssl pkcs12 -export -caname my-keystore -in certificate.crt -name my-key -inkey private.key -out keystore.p12 -passout pass:my-password

L'output di questo comando è un keystore.p12 file.

NOTA

I valori dei parametri di my-keystore, my-key e my-password devono essere sostituiti dai propri valori.

Verifica il contenuto del keystore

Java™ keytool strumento a riga di comando fornisce visibilità in un keystore per garantire che le chiavi siano caricate correttamente nel file keystore (keystore.p12).

$ keytool -keystore keystore.p12 -list

Enter keystore password: my-password

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

my-key, Feb 5, 2019, PrivateKeyEntry,
Certificate fingerprint (SHA1): 7C:6C:25:BD:52:D3:3B:29:83:FD:A2:93:A8:53:91:6A:25:1F:2D:52

Verificare l’archivio chiavi in Adobe I/O

Aggiunta del keystore a AEM

AEM utilizza il chiave privata comunicare in modo sicuro con Adobe I/O e altri servizi web. Affinché la chiave privata sia accessibile a AEM, deve essere installata in un archivio chiavi di un utente AEM.

Passa a AEM > Strumenti > Sicurezza > Utenti e modificare l'utente la chiave privata deve essere associata a.

Creare un AEM keystore

Crea KeyStore in AEM
AEM > Strumenti > Sicurezza > Utenti > Modifica utente

Quando viene richiesto di creare un archivio chiavi, eseguire questa operazione. Questo keystore esiste solo in AEM e NON è il keystore creato tramite openssl. La password può essere qualsiasi cosa e non deve essere la stessa utilizzata nel openssl comando.

Installare la chiave privata tramite il keystore

Aggiungi chiave privata in AEM
Utente > Keystore > Aggiungi chiave privata da keystore

Nella console dell’archivio chiavi dell’utente, fai clic su Aggiungi il modulo Chiave privata del file KeyStore e aggiungi le seguenti informazioni:

  • Nuovo alias: l'alias della chiave in AEM. Questo può essere qualsiasi cosa e non deve corrispondere al nome del keystore creato con il comando openssl.
  • File KeyStore: l'output del comando openssl pkcs12 (keystore.p12)
  • Password file KeyStore: La password impostata nel comando openssl pkcs12 tramite -passout argomento.
  • Alias chiave privata: Il valore fornito al -name argomento nel comando openssl pkcs12 precedente (cioè my-key).
  • Password chiave privata: La password impostata nel comando openssl pkcs12 tramite -passout argomento.
ATTENZIONE

La password del file KeyStore e la password della chiave privata sono uguali per entrambi gli input. Se si immette una password non corrispondente, la chiave non viene importata.

Verifica che la chiave privata sia caricata nel keystore AEM

Verifica chiave privata in AEM
Utente > Keystore

Quando la chiave privata viene caricata correttamente dall'archivio chiavi fornito nell'archivio chiavi AEM, i metadati della chiave privata vengono visualizzati nella console dell'archivio chiavi dell'utente.

Aggiunta della chiave pubblica all’Adobe I/O

La chiave pubblica corrispondente deve essere caricata in Adobe I/O per consentire all’utente del servizio AEM, che ha la chiave pubblica corrispondente privata di comunicare in modo sicuro.

Creare un Adobe I/O di nuova integrazione

Creare un Adobe I/O di nuova integrazione

Creare un’integrazione con Adobe I/O > Nuova integrazione

La creazione di un’integrazione in Adobe I/O richiede il caricamento di un certificato pubblico. Carica il certificate.crt generato da openssl req comando.

Verifica che le chiavi pubbliche siano caricate in Adobe I/O

Verifica chiavi pubbliche nell’Adobe I/O

Le chiavi pubbliche installate e le relative date di scadenza sono elencate nella Integrazioni console ad Adobe I/O. È possibile aggiungere più chiavi pubbliche tramite il Aggiungi una chiave pubblica pulsante .

Ora AEM detiene la chiave privata e l'integrazione Adobe I/O detiene la chiave pubblica corrispondente, consentendo AEM comunicare in modo sicuro con l'Adobe I/O.

In questa pagina