DSpace Açık Erişimi HTTPS üzerinden çalıştırmak
DSpace'iniz, kullanıcı adı ve şifreyle oturum açacak şekilde yapılandırılmışsa (örneğin, istemci Web sertifikalarının aksine), HTTPS kullanmayı düşünmelisiniz. Bir kullanıcı Web formuyla her oturum açtığında (ör. dspace.myuni.edu/dspace/password-login) DSpace şifresi ağda düz metin olarak gösterilir. Ağ trafiği izleme özellikle üniversitelerde çok yaygın olduğundan bu çok ciddi bir güvenlik riskidir. Risk küçük görünüyorsa, DSpace yöneticilerinizin de bu şekilde giriş yaptığını ve arşiv üzerinde tam denetime sahip olduklarını düşünün.
Çözüm, şifrelerinizi yakalanmaya karşı koruyan HTTPS (SSL üzerinden HTTP, yani şifrelenmiş bir aktarım) kullanmaktır. DSpace'i, tüm "kimliği doğrulanmış" işlemlerde SSL gerektirecek şekilde yapılandırabilirsiniz, böylece yalnızca SSL bağlantılarındaki şifreleri kabul eder.
Aşağıdaki bölümlerde, SSL üzerinden HTTP'yi desteklemek için en sık kullanılan Java Servlet kapsayıcılarının nasıl ayarlanacağı gösterilmektedir. Listelenen iki seçenek vardır:
Tomcat'in kendisinde HTTPS desteğini etkinleştirmeyi seçebilirsiniz (8080 ve 8443 bağlantı noktalarında çalışır) veya
80 ve 443 numaralı bağlantı noktalarında DSpace'i çalıştırmak için Apcat HTTPD'yi Tomcat'in önüne yükleyebilirsiniz (bu, Shibboleth SP - mod_shib'i Apache HTTPD ile çalıştırmak istediğinizde tipik bir yapılandırmadır)
Tomcat'in kendisinde HTTPS desteğini etkinleştirme (8080 ve 8443 bağlantı noktalarında çalışır)
Gevşek olarak http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html adresine dayanır.
Üretim kullanımı için: Sunucunuzda SSL kurmak için bu prosedürü izleyin. "Gerçek" bir sunucu sertifikası kullanmak, kullanıcılarınızın tarayıcılarının şikayeti olmadan kabul etmesini sağlar. Aşağıdaki örneklerde $ CATALINA_BASE, Tomcat'inizin kurulu olduğu dizindir.
Parola changeit ile sunucunuz için bir Java anahtar deposu oluşturun ve sunucu sertifikanızı "tomcat" takma adı altında yükleyin. Bu, sertifikanın server.pem dosyasına yerleştirildiğini varsayar:
$ JAVA_HOME / bin / keytool -import -noprompt -v -storepass changeit
-keystore $ CATALINA_BASE / conf / anahtar deposu -alias tomcat -file
myserver.pem
Gerekirse, sunucu sertifikanızı veren CA'nın CA (Sertifika Yetkilisi) sertifikasını yükleyin. Bu, sunucu CA sertifikasının ca.pem içinde olduğunu varsayar:
$ JAVA_HOME / bin / keytool -import -noprompt -storepass changeit
-trustcacerts -keystore $ CATALINA_BASE / conf / keystore -alias ServerCA
-file ca.pem
İsteğe bağlı - SADECE X.509 sertifika istiflenebilir kimlik doğrulama modülü için istemci sertifikalarını kabul etmeniz gerekiyorsa, X.509 kimlik doğrulama yöntemini etkinleştirme talimatları için yapılandırma bölümüne bakın. Anahtar deposunu, sertifikalarını kabul etmek istediğiniz istemcilerin yetkilileri için CA (sertifika yetkilisi) sertifikalarıyla yükleyin. Örneğin, istemci CA sertifikasının client1.pem içinde olduğunu varsayarsak:
$ JAVA_HOME / bin / keytool -import -noprompt -storepass changeit
-trustcacerts -keystore $ CATALINA_BASE / conf / keystore -alias client1
-file client1.pem
Şimdi server.xml Tomcat yapılandırma dosyanıza aşağıdaki örnek gibi başka bir Bağlayıcı etiketi ekleyin. SSL'yi etkileyen veya SSL'ye özgü parçalar kalın olarak gösterilmiştir. (Bağlantı noktası, yol adları ve anahtar deposu şifresi gibi bazı ayrıntıları değiştirmek isteyebilirsiniz)
<Connector bağlantı noktası = "8443"
URIEncoding = "UTF-8"
MinSpareThreads = "25"
enableLookups = "false"
disableUploadTimeout = "true"
scheme = "https" secure = "true" sslProtocol = "TLS"
keystoreFile = "conf / keystore" keystorePass = "changeit"
clientAuth = "true" - SADECE kimlik doğrulama için X.509 istemcileri kullanılıyorsa!
truststoreFile = "conf / keystore" truststorePass = "changeit" />
Ayrıca, varsayılan Bağlayıcının "güvenli" istekleri SSL bağlayıcınızla aynı bağlantı noktasına yönlendirecek şekilde ayarlandığını kontrol edin, örn .:
<Connector bağlantı noktası = "8080"
MinSpareThreads = "25"
enableLookups = "false"
redirectPort = "8443" />
