Menu Close
Settings Close

Language and Page Formatting Options

1.2.9. 使用旧的内核管理验证为单向 SSL/TLS 配置管理接口

仅使用单向 SSL/TLS 为通信配置 JBoss EAP 管理接口可以提供更高的安全性。客户端和管理界面之间的所有网络流量都是加密的,这降低了安全攻击的风险,比如中间人攻击。

在此过程中,禁用与 JBoss EAP 实例的未加密通信。此流程适用于独立服务器和受管域配置。对于受管域,使用主机名称作为管理 CLI 命令前缀,例如: /host=master

重要

在在管理界面中启用单向 SSL/TLS 的步骤时,除非明确指示,否则不要重新加载配置。这样做可能会导致您被锁定在管理界面中。

  1. 创建密钥存储来保护管理接口。

    如需更多信息,请参阅创建密钥存储来保护管理界面

  2. 确保管理接口绑定到 HTTPS。

    如需更多信息,请参阅确保管理接口绑定到 HTTPS

  3. 可选: 实施自定义 socket-binding-group

    如需更多信息,请参阅自定义 socket-binding-group

  4. 创建新的安全域。

    如需更多信息,请参阅创建新的安全域

  5. 配置管理接口以使用新的安全域。

    如需更多信息,请参阅配置管理界面以使用安全域

  6. 配置管理接口以使用密钥存储。

    如需更多信息,请参阅配置管理接口以使用密钥存储

  7. 更新 jboss-cli.xml

    如需更多信息,请参阅更新 jboss-cli.xml 文件

1.2.9.1. 创建密钥存储来保护管理接口

创建密钥存储来保护管理接口。

此密钥存储必须采用 JKS 格式,因为管理接口与 JCEKS 格式的密钥存储不兼容。

流程

  • 使用以下 CLI 命令创建密钥存储:

    将参数的示例值(如 别名,keypass,keystore,storepassdname )替换为环境的正确值。

    $ keytool -genkeypair -alias appserver -storetype jks -keyalg RSA -keysize 2048 -keypass password1 -keystore EAP_HOME/standalone/configuration/identity.jks -storepass password1 -dname "CN=appserver,OU=Sales,O=Systems Inc,L=Raleigh,ST=NC,C=US" -validity 730 -v
注意

参数 validity 指定密钥有效的天数。730 等于两年。