Capítulo 18. Criptografia da Senha Keystore num Conector Tomcat

Procedimento 18.1. Criptografia da Senha Keystore do Recipiente Tomcat

1. Anexe o elemento conector

   Adicione o elemento conector ao server.xml no $JBOSS_HOME/server/$PROFILE/deploy/jbossweb.sar

   <!-- SSL/TLS Connector with encrypted keystore password configuration -->
   <Connector port="8443" address="${jboss.bind.address}"
   maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
   scheme="https" secure="true" clientAuth="true"
   sslProtocol="TLS"
   securityDomain="java:/jaas/encrypt-keystore-password"
   SSLImplementation="org.jboss.net.ssl.JBossImplementation" >
   </Connector>

   .

2. Configuração do JaasSecurityDomain MBean

   Consulte o JaasSecurityDomain MBean no arquivo $JBOSS_HOME/server/$PROFILE/deploy/security-service.xml.
   Crie o arquivo caso ele ainda não exista. A amostra do código descreve o conteúdo solicitado quando o arquivo não existir. Caso você já tenha um security-service.xml, anexe o bloqueio do elemento <mbean> ao arquivo.

   <server>
   <mbean code="org.jboss.security.plugins.JaasSecurityDomain"
   name="jboss.security:service=PBESecurityDomain">
   <constructor>
   <arg type="java.lang.String" value="encrypt-keystore-password"></arg>
   </constructor>
   <attribute name="KeyStoreURL">resource:localhost.keystore</attribute>
   <attribute name="KeyStorePass">{CLASS}org.jboss.security.plugins.FilePassword:${jboss.server.home.dir}/conf/keystore.password</attribute>
   <attribute name="Salt">welcometojboss</attribute>
   <attribute name="IterationCount">13</attribute>
   </mbean>
   </server>

   O Salt e IterationCount são variáveis que definem a intensidade de sua senha criptografada, de forma que você pode variar isto da maneira que é apresentada. Certifique-se de gravar novos valores e usá-los quando gerando a senha criptografada.

   Nota

   O Salt deve possuir pelo menos oito caracteres.

3. Geração de uma senha criptografada

   A configuração <mbean> especifica que o keystore está armazenado no arquivo jboss-as/server/$PROFILE/conf/localhost.keystore. O <mbean> também especifica que o arquivo de senha criptografado está armazenado no arquivo jboss-as/server/$PROFILE/conf/keystore.password.
   Você deve criar um arquivo localhost.keystore.
   Execute o seguinte comando no diretório jboss-as/server/$PROFILE/conf.

   [conf]$ java -cp $JBOSS_HOME/lib/jbosssx.jar \org.jboss.security.plugins.FilePassword welcometojboss 13 unit-tests-server keystore.password

   Este comando usa um jbosssx.jar como classpath (-cp) e o puglin de segurança FilePassword para criação de um arquivo keystore.password com a senha configurada para unit-tests-server. Você deverá fornecer os parâmetros salt e interation configurados nos elementos <mbean> <attribute> do JaasSecurityDomain, com o objetivo de certificar-se de que tem permissão para criar um arquivo keystore.password.
   Você pode executar este comando no diretório /conf, de forma que o arquivo keystore.password é salvo a este diretório.

4. Atualização do MBean do serviço Tomcat

   Navegue ao $JBOSS_HOME/server/$PROFILE/deploy/jbossweb.sar/META-INF .
   Abra um jboss-service.xml e anexe a seguinte tag <depends> no final do arquivo. A adição da tag <depends> especifica que o Tomcat deve iniciar após o jboss.security:service=PBESecurityDomain .

   <depends>jboss.security:service=PBESecurityDomain</depends>
   </mbean>
   </server>