Certificados Alfresco

p_pimenton · ‎15 Jun 2016

Hola a todos, he hecho algo parecido con alfresco 4.x, pero en la versión 5 no me sale, a ver si me podéis echar una mano.
Tengo el afresco 5 en un ubuntu, con postgres, como viene por defecto en el puerto 8080 y el 8443. El caso es que he instalado una CA independiente y una subordinada en la empresa, y he generado un certificado para la máquina de alfresco. los pasos han sido los siguientes:
he importado la clave privada de la ca al keysotre
he importado el certificado al keystore.
He hecho n combinaciones, a saber:
he tocado el alfresco-global.properties, cambiando tanto para alfresco como para share el puerto de 8080 a 443 y con https
he tocado el server.xml para que esté en el 443 en vez de en el 8443, claro he quitado el keystore que tiene por el que he creado (pero no se porque me da que ese keystore lo usa para el sorl)
he instalado authbind y he autorizado al usuario que arranca alfresco a que abra el puerto 443

también he tratado instalando ngnix

en fin muchas pruebas, pero ninguna de ellas me ha funcionado.
Lo dicho, is me podéis echar una mano, cambio por cervezas!!!

angelborroy · ‎15 Jun 2016

La documentación de Alfresco ha mejorado bastante: http://docs.alfresco.com/community/tasks/configure-ssl-test.html

Básicamente tienes que incorporar tus certificados a <CODE>alf_data/keystore/ssl.keystore</CODE> y tus CAs a <CODE>alf_data/keystore/ssl.trustore</CODE>. Si tienen alias diferentes a los que vienen por defecto, tendrás que modificar el <CODE>server.xml</CODE> de Tomcat para que los escoja en vez de los anteriores.

Después deberás actualizar también los almacenes clientes de SOLR (generando un certificado para ellos), que están ubicados en

alfresco/solr4/archive-SpacesStore/conf/ssl.repo.client.keystore‍

y

alfresco/solr4/archive-SpacesStore/conf/ssl.repo.client.trustore‍

Si has utilizado el instalador, se suministra un script para la generación de nuevas claves que puede ayudarte (http://docs.alfresco.com/community/tasks/generate-keys-solr4.html), aunque nunca he probado si funciona o no.

Hyland Developer Evangelist

angelborroy · ‎15 Jun 2016

He visto que no había nada claro por ahí publicado, he puesto un resumen de las alternativas aquí: https://angelborroy.wordpress.com/2016/06/15/configuring-alfresco-ssl-certificates/

Si encuentras algún error o algo que no quede claro, me dices.

Gracias,

Hyland Developer Evangelist

p_pimenton · ‎21 Jun 2016

Gracias señor, lo intento a ver que pasa, había puesto el apache en medio, pero tengo el problema que no me da la opción de modificar online los docs.

p_pimenton · ‎22 Jun 2016

Con respecto a tu artículo (me parece muy bueno), me surge una duda, tengo que generar dos certificados para la misma máquina???, es decir, uno para el servidor web (como lo dicen la plantilla de la ca de win2) y otro para que hable con sorl???
Y si no he entendido mal, tengo que importar los certificados de las CAs (principal y subordinada) a un fichero, y los del servidor we y sorl a otro?

angelborroy · ‎22 Jun 2016

Lo cierto es que en el artículo hay mucha información pero no sé si es demasiado claro, explica diferentes maneras de configurar lo mismo.

Si utilizas un servidor web, no es necesario utilizar certificados para la comunicación SOLR - Alfresco. Basta con que no expongas en el servidor web las URLs de SOLR. En ese caso, configurando el certificado SSL en el Apache / NGINX de la manera tradicional y actualizando el puerto en alfresco-global.properties es suficiente.

En cuanto a la otra pregunta, en Java se utilizan dos tipo de almacenes. TRUSTSTORE para incluir los certificados públicos de las CAs y KEYSTORE para almacenar los certificados privados (usados para SSL).

Hyland Developer Evangelist

p_pimenton · ‎22 Jun 2016

mmmm Como, no entiendo, si pongo un servidor que me proxifique el tomcat no tengo que tocar nada no?, bueno el caso es que he hecho esto (apache) y ahora tengo un problemilla, y es que cuando le doy a editar en línea, me abre la aplicación pero no el documento, es decir, me abre el word pero no el documento para editarlo, sin embargo el google docs si lo hace. Yo en otra versión, lo tenía con el almacen de Java (un alfresco 3), pero la ca era la propia máquina, ahora tengo un Active directory con una ca y subordinada (como te comentaba) y para hacerlo con java tendría que agregar los certificados de ca y subordinada a trustedstore y el del servidor web (alfresco) al keystore, pero y el sorl (que no tengo ni idea de que es ni pa que vale)??? dejará de funcionar cuando reconfigure los puertos? (por cierto no te dije que use authbind para poder abrir puertos por debajo del 1024…

P.d. Muchisismas gracias por todo tu apoyo.
P.d2. Tengo a medias aquello de la ayuda que te pedí de los proles personalizados… (estoy como loco por hacerlo)

angelborroy · ‎22 Jun 2016

Lo del SharePoint, me parece que es porque no habrás abierto las nuevas URLs en el Apache: http://docs.alfresco.com/community/tasks/configure-ssl-prod.html

En principio, si pones el Apache por delante, lo de atrás no tienes por qué tocar nada de la instalación de Alfresco. Lo único que tienes que tocar es el puerto y el protocolo de Share y Alfresco en alfresco-global.properties para ponerles https por el 443.

Hyland Developer Evangelist

p_pimenton · ‎12 Jul 2016

Pero si el el puerto por el que escucha el apache es el 443, alfresco no debería de hacerlo por el mismo no?
Y con resepcto al enlace, tenía configurado la parte del httpd.conf bueno no exactamente, porque lo he hecho en el sitio predeterminado del apache, ya que ese fichero ya no lo usa (o eso creo)

angelborroy · ‎13 Jul 2016

La configuración de

alfresco-global.properties‍

es únicamente para los enlaces externos, no tiene nada que ver con la configuración de Tomcat (8080 / 8443).

Hyland Developer Evangelist