7.4. SSL 连接器引用
JBoss Web 连接器可能包括了下列 SSL 配置属性。提供的 CLI 命令是针对使用
default 配置集的受管域的。按照你的需要修改这个配置集名称(对于受管域),或者忽略命令行的 /profile=default 部分(对于独立服务器)。
表 7.1. SSL 连接器属性
| 属性 | 描述 | CLI 命令 |
|---|---|---|
| 名称 |
SSL 连接器的显示名称。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=name,value=https) |
| verify-client |
设置为
true 表示在接受连接前需要客户的有效证书链。如果你希望 SSL 栈来请求客户证书,可以将其设为 want。设置为 false(默认值)表示不要求证书链,除非客户请求被使用 CLIENT-CERT 验证的安全约束保护的资源。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-client,value=want) |
| verify-depth |
中间证书发行者在决定客户是否具有有效证书前检查的最多次数。默认值是
10。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-depth,value=10) |
| certificate-key-file |
保存服务器证书的密钥库文件的完整文件路径和名称。对于 JSSE 加密,这个证书文件将是唯一的,而 OpenSSL 则使用几个文件。默认值是运行 JBoss EAP 的用户的主目录下的
.keystore。如果你的 keystoreType 没有使用文件,请将这个参数设置为空字符串。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-key-file,value=../domain/configuration/server.keystore) |
| certificate-file |
如果你使用 OpenSSL 加密,请设置这个参数的值为包含服务器证书的文件的路径。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=server.crt) |
| password |
用于信任库和密钥库的密码。默认值是
changeit,你必须修改它,使其匹配密钥库的密码,从而可以正常使用配置。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=password,value=changeit) |
| protocol |
要使用的 SSL 协议的版本。支持的值包括
SLv2、SSLv3、TLSv1、SSLv2+SSLv3 和 ALL。默认的是 ALL。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=ALL) |
| cipher-suite |
用逗号隔开的所允许的加密密码的列表。JSSE 的默认 JVM 包含不应该使用的弱密码。这个例子只列出了两个可能的密码,但实际的例子可能使用更多。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=cipher-suite, value="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA") |
| key-alias |
用于密钥库里服务器证书的别名。默认值是
jboss。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=key-alias,value=jboss) |
| truststore-type |
信任库的类型。不同的密钥库包括
PKCS12 和 Java 的标准 JKS。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=truststore-type,value=jks) |
| keystore-type |
密钥库的类型那个。不同的密钥库类型包括
PKCS12 和 Java 的标准 JKS。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=keystore-type,value=jks) |
| ca-certificate-file |
包含 CA 证书的文件。对于 JSSE 是
truststoreFile,并对密钥库使用相同密码。ca-certificate-file 文件被用来检验客户证书。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=ca.crt) |
| ca-certificate-password |
用于
ca-certificate-file 的证书密码。在下面的例子里,请用自己的掩码密码替换其中的密码。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-certificate-password,value=MASKED_PASSWORD) |
| ca-revocation-url |
包含撤销列表的文件或 URL。它指向
crlFile(JSSE )或 SSLCARevocationFile(SSL)。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-revocation-url,value=ca.crl) |
| session-cache-size |
SSL 会话缓存的大小。默认值是
0,它禁用会话缓存。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-cache-size,value=100) |
| session-timeout |
在缓存的 SSLSession 过期前的秒数。默认值为
86400 秒,也就是 24 小时。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-timeout,value=43200) |
