Ssl
在 JBoss 4.2.2 GA 中混淆密鑰庫密碼
我已經將我的 jboss 應用伺服器設置為使用 SSL。我的配置中的相關摘錄如下。一切正常,但是有些人對
keystorePass
純文字中的屬性表示擔憂。有沒有辦法混淆/加密這個值?我正在使用 JBoss 4.2.2.GA(在 Red Hat Enterprise Edition 上,如果這有什麼不同的話)
<Connector port="8080" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/somewhere/some.keystore" keystorePass="somePassword" keyAlias="tomcat"/>
編輯,為了通過默默無聞的方法擺脫安全性,另一種混淆它的方法是根本不提供它,並在啟動時讓 tomcat 提示 p/w。但是據我所知,這不受支持。任何人都可以確認或否認這一點嗎?
根據 JBoss 的首席 JBoss 安全架構師 Anil Saldhana 的這個 wiki 條目,這是可能的:
http://community.jboss.org/wiki/EncryptKeystorePasswordInTomcatConnector
我沒有親自實現過這個,但我想 Anil 非常了解這個主題。