Ssl

在 JBoss 4.2.2 GA 中混淆密鑰庫密碼

  • February 17, 2010

我已經將我的 jboss 應用伺服器設置為使用 SSL。我的配置中的相關摘錄如下。一切正常,但是有些人對keystorePass純文字中的屬性表示擔憂。有沒有辦法混淆/加密這個值?

我正在使用 JBoss 4.2.2.GA(在 Red Hat Enterprise Edition 上,如果這有什麼不同的話)

<Connector port="8080" 
   protocol="HTTP/1.1" 
   SSLEnabled="true"
   maxThreads="150" 
   scheme="https" 
   secure="true"
   clientAuth="false" 
   sslProtocol="TLS"
   keystoreFile="/somewhere/some.keystore"
   keystorePass="somePassword"
   keyAlias="tomcat"/>

編輯,為了通過默默無聞的方法擺脫安全性,另一種混淆它的方法是根本不提供它,並在啟動時讓 tomcat 提示 p/w。但是據我所知,這不受支持。任何人都可以確認或否認這一點嗎?

根據 JBoss 的首席 JBoss 安全架構師 Anil Saldhana 的這個 wiki 條目,這是可能的:

http://community.jboss.org/wiki/EncryptKeystorePasswordInTomcatConnector

我沒有親自實現過這個,但我想 Anil 非常了解這個主題。

引用自:https://serverfault.com/questions/113884