Replica tramite SSL reciproco replicating-using-mutual-ssl
Configura AEM in modo che un agente di replica nell’istanza di authoring utilizzi SSL reciproco (MSSL) per connettersi all’istanza di pubblicazione. Utilizzando MSSL, l’agente di replica e il servizio HTTP sull’istanza Publish utilizzano i certificati per autenticarsi a vicenda.
La configurazione di MSSL per la replica prevede l’esecuzione dei seguenti passaggi:
-
Crea o ottieni chiavi e certificati privati per le istanze di authoring e pubblicazione.
-
Installa le chiavi e i certificati nelle istanze di authoring e pubblicazione:
- Autore: chiave privata dell’autore e certificato di Publish.
- Pubblicazione: chiave privata di Publish e certificato dell’autore. Il certificato è associato all’account utente autenticato con l’agente di replica.
-
Configura il servizio HTTP basato su Jetty nell’istanza di Publish.
-
Configura le proprietà di trasporto e SSL dell’agente di replica.
Determinare quale account utente esegue la replica. Durante l’installazione del certificato dell’autore attendibile nell’istanza di pubblicazione, il certificato è associato a questo account utente.
Ottenimento o creazione di credenziali per MSSL obtaining-or-creating-credentials-for-mssl
È necessario disporre di una chiave privata e di un certificato pubblico per le istanze di authoring e pubblicazione:
- Le chiavi private devono essere contenute nel formato pkcs#12 o JKS.
- I certificati devono essere in formato PKCS#12 o JKS. È inoltre possibile aggiungere al Granite Truststore un certificato contenuto in formato "CER".
- I certificati possono essere autofirmati o firmati da una CA riconosciuta.
Formato JKS jks-format
Genera una chiave privata e un certificato in formato JKS. La chiave privata viene memorizzata in un file KeyStore e il certificato viene memorizzato in un file TrustStore. Utilizza Java keytool
per creare entrambi.
Eseguire i passaggi seguenti utilizzando Java keytool
per creare la chiave privata e le credenziali:
-
Genera una coppia di chiavi pubblica-privata in un KeyStore.
-
Creare o ottenere il certificato:
- Autofirmato: esporta il certificato dal registro chiavi.
- Firma CA: genera una richiesta di certificato e la invia alla CA.
-
Importa il certificato in un TrustStore.
Utilizza la procedura seguente per creare una chiave privata e un certificato autofirmato sia per le istanze di authoring che per quelle di pubblicazione. Utilizzare valori diversi per le opzioni dei comandi.
-
Aprire una finestra o un terminale della riga di comando. Per creare la coppia di chiavi pubblica-privata, immetti il comando seguente, utilizzando i valori delle opzioni della tabella seguente:
code language-shell keytool -genkeypair -keyalg RSA -validity 3650 -alias alias -keystore keystorename.keystore -keypass key_password -storepass store_password -dname "CN=Host Name, OU=Group Name, O=Company Name,L=City Name, S=State, C=Country_ Code"
table 0-row-3 1-row-3 2-row-3 Opzione Autore Pubblicazione -alias author pubblicazione -keystore author.keystore publish.keystore -
Per esportare il certificato, immetti il comando seguente utilizzando i valori di opzione della tabella seguente:
code language-shell keytool -exportcert -alias alias -file cert_file -storetype jks -keystore keystore -storepass store_password
table 0-row-3 1-row-3 2-row-3 3-row-3 Opzione Autore Pubblicazione -alias author pubblicazione -file author.cer publish.cer -keystore author.keystore publish.keystore
Formato pkcs#12 pkcs-format
Genera una chiave privata e un certificato in formato pkcs#12. Utilizza openSSL per generarli. Per generare una chiave privata e una richiesta di certificato, utilizza la procedura descritta di seguito. Per ottenere il certificato, firma la richiesta con la tua chiave privata (certificato autofirmato) o invia la richiesta a una CA. Quindi, genera l’archivio pkcs#12 che contiene la chiave privata e il certificato.
-
Aprire una finestra o un terminale della riga di comando. Per creare la chiave privata, immetti il comando seguente, utilizzando i valori delle opzioni della tabella seguente:
code language-shell openssl genrsa -out keyname.key 2048
table 0-row-3 1-row-3 Opzione Autore Pubblicazione -out author.key publish.key -
Per generare una richiesta di certificato, immetti il comando seguente, utilizzando i valori di opzione della tabella seguente:
code language-shell openssl req -new -key keyname.key -out key_request.csr
table 0-row-3 1-row-3 2-row-3 Opzione Autore Pubblicazione -key author.key publish.key -out author_request.csr publish_request.csr Firma la richiesta di certificato o la invia a una CA.
-
Per firmare la richiesta di certificato, immetti il comando seguente, utilizzando i valori delle opzioni della tabella seguente:
code language-shell openssl x509 -req -days 3650 -in key_request.csr -signkey keyname.key -out certificate.cer
table 0-row-3 1-row-3 2-row-3 3-row-3 Opzione Autore Pubblicazione -signkey author.key publish.key -in author_request.csr publish_request.csr -out author.cer publish.cer -
Per aggiungere la chiave privata e il certificato firmato a un file pkcs#12, immetti il comando seguente, utilizzando i valori delle opzioni della tabella seguente:
code language-shell openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in certificate.cer -inkey keyname.key -out pkcs12_archive.pfx -name "alias"
table 0-row-3 1-row-3 2-row-3 3-row-3 4-row-3 Opzione Autore Pubblicazione -inkey author.key publish.key -out author.pfx publish.pfx -in author.cer publish.cer -name author pubblicazione
Installare la chiave privata e TrustStore in Author install-the-private-key-and-truststore-on-author
Installa i seguenti elementi nell’istanza di authoring:
- Chiave privata dell’istanza di authoring.
- Certificato dell’istanza Publish.
Per eseguire la procedura seguente, devi aver effettuato l’accesso come amministratore dell’istanza di authoring.
Installare la chiave privata di authoring install-the-author-private-key
-
Apri la pagina Gestione utente per l’istanza di authoring. (http://localhost:4502/libs/granite/security/content/useradmin.html)
-
Per aprire le proprietà dell'account utente, fare clic sul nome utente.
-
Se nell'area Impostazioni account viene visualizzato il collegamento Crea registro chiavi, fare clic sul collegamento. Configurare una password e fare clic su OK.
-
Nell'area Impostazioni account fare clic su Gestisci registro chiavi.
-
Fai Clic Su Aggiungi Chiave Privata Da File Archivio Chiavi.
-
Fai clic su Seleziona file archivio chiavi, quindi cerca e seleziona il file author.keystore o il file author.pfx se utilizzi pkcs#12, quindi fai clic su Apri.
-
Immettere un alias e la password per l'archivio chiavi. Immetti l’alias e la password per la chiave privata, quindi fai clic su Invia.
-
Chiudere la finestra di dialogo Gestione registro chiavi.
Installare il certificato Publish install-the-publish-certificate
-
Apri la pagina Gestione utente per l’istanza di authoring. (http://localhost:4502/libs/granite/security/content/useradmin.html)
-
Per aprire le proprietà dell'account utente, fare clic sul nome utente.
-
Se nell'area Impostazioni account viene visualizzato il collegamento Crea TrustStore, fare clic sul collegamento, creare una password per il TrustStore e fare clic su OK.
-
Nell'area Impostazioni account fare clic su Gestisci TrustStore.
-
Fare clic su Aggiungi certificato da file CER.
-
Deseleziona l’opzione Mappa certificato a utente. Fai clic su Seleziona file di certificato, seleziona publish.cer, quindi fai clic su Apri.
-
Chiudere la finestra di dialogo Gestione TrustStore.
Installare Private Key e TrustStore in Publish install-private-key-and-truststore-on-publish
Installa i seguenti elementi nell’istanza di pubblicazione:
- Chiave privata dell’istanza Publish.
- Certificato dell’istanza di authoring. Associa il certificato all’utente utilizzato per eseguire le richieste di replica.
Per eseguire la procedura seguente, devi aver effettuato l’accesso come amministratore dell’istanza Publish.
Installare la chiave privata di Publish install-the-publish-private-key
- Apri la pagina Gestione utente per l’istanza Publish. (http://localhost:4503/libs/granite/security/content/useradmin.html)
- Per aprire le proprietà dell'account utente, fare clic sul nome utente.
- Se nell'area Impostazioni account viene visualizzato il collegamento Crea registro chiavi, fare clic sul collegamento. Configurare una password e fare clic su OK.
- Nell'area Impostazioni account fare clic su Gestisci registro chiavi.
- Fai Clic Su Aggiungi Chiave Privata Da File Archivio Chiavi.
- Fai clic su Seleziona file archivio chiavi, quindi cerca e seleziona il file publish.keystore o publish.pfx se utilizzi pkcs#12, quindi fai clic su Apri.
- Immettere un alias e la password per l'archivio chiavi. Immetti l’alias e la password per la chiave privata, quindi fai clic su Invia.
- Chiudere la finestra di dialogo Gestione registro chiavi.
Installare il certificato di authoring install-the-author-certificate
- Apri la pagina Gestione utente per l’istanza Publish. (http://localhost:4503/libs/granite/security/content/useradmin.html)
- Se nell'area Archivio fonti attendibili globale viene visualizzato il collegamento Crea TrustStore, fare clic sul collegamento, creare una password per il TrustStore e fare clic su OK.
- Nell'area Impostazioni account fare clic su Gestisci TrustStore.
- Fare clic su Aggiungi certificato da file CER.
- Accertati che l’opzione Mappa certificato a utente sia selezionata. Fai clic su Seleziona file di certificato, seleziona author.cer, quindi fai clic su Apri.
- Fare clic su Invia, quindi chiudere la finestra di dialogo Gestione TrustStore.
Configurare il servizio HTTP su Publish configure-the-http-service-on-publish
Configura le proprietà del servizio HTTP basato su Jetty Apache Felix sull’istanza Publish in modo che utilizzi HTTPS durante l’accesso a Granite Keystore. Il PID del servizio è org.apache.felix.http
.
Nella tabella seguente sono elencate le proprietà OSGi che è necessario configurare per l’utilizzo della console web.
Configurare l’agente di replica durante l’authoring configure-the-replication-agent-on-author
Configura l’agente di replica nell’istanza di authoring per utilizzare il protocollo HTTPS durante la connessione all’istanza di pubblicazione. Per informazioni complete sulla configurazione degli agenti di replica, vedere Configurazione degli agenti di replica.
Per abilitare MSSL, configura le proprietà nella scheda Trasporto in base alla tabella seguente:
Dopo aver configurato l’agente di replica, verifica la connessione per determinare se MSSL è configurato correttamente.
29.08.2014 14:02:46 - Create new HttpClient for Default Agent
29.08.2014 14:02:46 - * HTTP Version: 1.1
29.08.2014 14:02:46 - * Using Client Auth SSL configuration *
29.08.2014 14:02:46 - adding header: Action:Test
29.08.2014 14:02:46 - adding header: Path:/content
29.08.2014 14:02:46 - adding header: Handle:/content
29.08.2014 14:02:46 - deserialize content for delivery
29.08.2014 14:02:46 - No message body: Content ReplicationContent.VOID is empty
29.08.2014 14:02:46 - Sending POST request to http://localhost:8443/bin/receive?sling:authRequestLogin=1
29.08.2014 14:02:46 - sent. Response: 200 OK
29.08.2014 14:02:46 - ------------------------------------------------
29.08.2014 14:02:46 - Sending message to localhost:8443
29.08.2014 14:02:46 - >> POST /bin/receive HTTP/1.0
29.08.2014 14:02:46 - >> Action: Test
29.08.2014 14:02:46 - >> Path: /content
29.08.2014 14:02:46 - >> Handle: /content
29.08.2014 14:02:46 - >> Referer: about:blank
29.08.2014 14:02:46 - >> Content-Length: 0
29.08.2014 14:02:46 - >> Content-Type: application/octet-stream
29.08.2014 14:02:46 - --
29.08.2014 14:02:46 - << HTTP/1.1 200 OK
29.08.2014 14:02:46 - << Connection: Keep-Alive
29.08.2014 14:02:46 - << Server: Day-Servlet-Engine/4.1.64
29.08.2014 14:02:46 - << Content-Type: text/plain;charset=utf-8
29.08.2014 14:02:46 - << Content-Length: 26
29.08.2014 14:02:46 - << Date: Fri, 29 Aug 2014 18:02:46 GMT
29.08.2014 14:02:46 - << Set-Cookie: login-token=3529326c-1500-4888-a4a3-93d299726f28%3ac8be86c6-04bb-4d18-80d6-91278e08d720_98797d969258a669%3acrx.default; Path=/; HttpOnly; Secure
29.08.2014 14:02:46 - << Set-Cookie: cq-authoring-mode=CLASSIC; Path=/; Secure
29.08.2014 14:02:46 - <<
29.08.2014 14:02:46 - << R
29.08.2014 14:02:46 - << eplicationAction TEST ok.
29.08.2014 14:02:46 - Message sent.
29.08.2014 14:02:46 - ------------------------------------------------
29.08.2014 14:02:46 - Replication (TEST) of /content successful.
Replication test succeeded