3.8.5. Store e Recuperação das Sequências Confidenciais Criptografas do Java Keystore

Sumário

A inclusão de senhas e outras sequências confidenciais nos arquivos de configuração em texto plano não está segurado. O JBoss Enterprise Application Plataform inclui a habilidade de aplicar o store e mascarar essas sequências confidenciais num keystore criptografado e usa valores mascarados nos arquivos de configuração.

Procedimento 3.4. Configuração do Java Keystore

  1. Execute o comando vault.sh.

    Execute o EAP_HOME/bin/vault.sh. Inicie a sessão interativa digitando 0.
  2. Insira o diretório onde arquivos criptografados sofrerão o store.

    Caso você tenha seguido a Seção 3.8.2, “Criação do Java Keystore para Sequências Confidenciais do Store”, o seu keystore está num diretório chamado vault/ no seu diretório principal. Na maioria das vezes, faz sentido aplicar o store em todas as suas informações criptografadas no mesmo local ao do store da chave. Essa amostra usa o diretório /home/USER/vault/.

    Nota

    Não se esqueça de incluir barra à direita / ou \, dependendo de seu sistema operacional.
  3. Insira o caminho ao keystore.

    Insira o caminho inteiro ao arquivo keystore. Essa amostra usa o /home/USER/vault/vault.keystore.
  4. Insira a senha keystore, o nome do vault, o salt, e a contagem de interação.

    Quando solicitado, insira a senha keystore, o nome do vault, o salt, e a contagem de interação. Um acordo é executado.
  5. Selecione a opção para realizar o store na senha.

    Selecione a opção 0 para realizar o store na senha ou outra sequência confidencial.
  6. Insira o valor.

    Quando solicitado, insira duas vezes o valor. Caso os valores não coincidam, você será solicitado a tentar novamente.
  7. Insira o bloco vault.

    Insira o bloco vault, que é um contêiner para atributos que pertencem ao mesmo recurso. Uma amostra deste nome do atributo seria ds_ExampleDS. Isto fará parte de uma referência à sequência criptografada, na sua fonte de dados ou outra definição do serviço.
  8. Insira o nome do atributo.

    Insira o nome do atributo que você está aplicando o store. Uma amostra do nome do atributo seria password.
    Resultado

    Uma mensagem parecida com a abaixo demonstra que o atributo foi salvo.

    Valor do Atributo para (ds_ExampleDS, password) salvos
  9. Anote a informação sobre a sequência criptografada.

    A mensagem imprime o resultado default, apresentando o bloco vault, nome do atributo, chave compartilhada e recomendação sobre o uso da sequência em sua configuração. Anote esta informação numa localização segura. O resultado da amostra é exibido abaixo:
    ********************************************
    Vault Block:ds_ExampleDS
    Attribute Name:password
    Shared Key:N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0
    Configuration should be done as follows:
    VAULT::ds_ExampleDS::password::N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0
    ********************************************
    
  10. Uso da sequência criptografada na sua configuração.

    Use a sequência a partir da sequência em sua configuração, no local de uma sequência de texto plano. A fonte de dados usando a senha criptografia é apresentada abaixo.
    ...
      <subsystem xmlns="urn:jboss:domain:datasources:1.0">
        <datasources>
          <datasource jndi-name="java:jboss/datasources/ExampleDS" enabled="true" use-java-context="true" pool-name="H2DS">
            <connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1</connection-url>
            <driver>h2</driver>
            <pool></pool>
            <security>
              <user-name>sa</user-name>
              <password>${VAULT::ds_ExampleDS::password::N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0}</password>
            </security>
          </datasource>
          <drivers>
             <driver name="h2" module="com.h2database.h2">
                <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
             </driver>
          </drivers>
        </datasources>
      </subsystem>
    ...
    
    
    Você pode usar a sequência criptografada em qualquer local de seu domain ou arquivo de configuração autônomo onde as expressões são permitidas.

    Nota

    Para verificar se as expressões são permitidas com um subsistema em particular, execute o seguinte comando CLI em relação ao subsistema:
    /host=master/core-service=management/security-realm=TestRealm:read-resource-description(recursive=true)
    A partir de um resultado de execução deste comando, busque pelo valor para o parâmetro expressions-allowed. Caso isto seja verdadeiro, você pode usar expressões com a configuração do subsistema particular.
    Após você aplicar o store na sua sequência do keystore, use a seguinte sintaxe para substituir qualquer sequência de texto limpo por uma criptografada.
    ${VAULT::<replaceable>VAULT_BLOCK</replaceable>::<replaceable>ATTRIBUTE_NAME</replaceable>::<replaceable>ENCRYPTED_VALUE</replaceable>}
    
    Segue abaixo uma amostra do valor de mundo real, onde o bloco vault é ds_ExampleDS e o atributo é password.
    <password>${VAULT::ds_ExampleDS::password::N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0}</password>