Wildfly 9 http до https

Ответ 1

Во-первых, я основываю это на WildFly 9.0.1.Final, и я предполагаю, что вы просто пытаетесь включить SSL через HTTPS и не беспокоитесь об аутентификации. Я просто потратил около дня на то, чтобы все это понять. Отработайте эту документацию:

https://docs.jboss.org/author/display/WFLY9/Admin+Guide

Первое, что вы хотите сделать, это создать хранилище ключей, как описано в документации.

https://docs.jboss.org/author/display/WFLY9/Admin+Guide#AdminGuide-EnableSSL

Действительно важный вопрос, на который нужно ответить, - это тот, который просит ваше имя и фамилия. Там вам нужно указать имя хоста сервера приложений (например, localhost). Откройте окно терминала в папке {jboss.home}/standalone/configuration и введите следующую команду:

keytool -genkey -alias MY_ALIAS -keyalg RSA -keystore MY_KEYSTORE_FILENAME -validity 365`

ПРИМЕЧАНИЕ:, MY_ALIAS, MY_KEYSTORE_FILENAME и MY_PASSWORD являются произвольными, и вы можете установить их по своему желанию.

Следующий шаг - изменить файл standalone-XXX.xml в том же каталоге {jboss.home}/standalone/configuration. Я использую файл standalone-full.xml, но я считаю, что это будет работать и для других.

Следующий шаг в документации, к которой я привязан выше, говорит нам о том, чтобы поставить ссылку на хранилище SSL в ManagementRealm. Это может привести к большой путанице. Для целей этого ответа я пытаюсь заставить WildFly включить SSL через порт 8443 для доступа к моим приложениям. Хотя я также включил SSL для консоли управления (через порт 9993), что позже.

Я предлагаю разместить информацию хранилища ключей в ApplicationRealm следующим образом:

<security-realm name="ApplicationRealm">
    <server-identities>
        <ssl>
            <keystore path="MY_KEYSTORE_FILENAME" relative-to="jboss.server.config.dir" keystore-password="MY_PASSWORD" alias="MY_ALIAS" key-password="MY_PASSWORD"/>
        </ssl>
    </server-identities>
    <authentication>
        <local default-user="$local" allowed-users="*" skip-group-loading="true"/>
        <properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
    </authentication>
    <authorization>
        <properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
    </authorization>
</security-realm>

ПРИМЕЧАНИЕ., единственным изменением файла по умолчанию в этом разделе должен быть тег идентификатора сервера. Тег проверки подлинности следует оставить в покое, если у вас нет других причин для его изменения).

ПРИМЕЧАНИЕ:, MY_KEYSTORE_FILENAME, MY_ALIAS и MY_PASSWORD должны соответствовать значениям, предоставленным при создании ключа.

Теперь документация становится немного сложной. Теперь вам нужно немного прокрутить список, чтобы сделать следующий шаг, но, к сожалению, он не говорит вам об этом. Теперь, когда у вас есть хранилище ключей, установленное в Wildfly и настроенное в соответствующей области безопасности, вам нужно установить слушателя HTTPS и связать его с хранилищем ключей.

https://docs.jboss.org/author/display/WFLY9/Admin+Guide#AdminGuide-HTTPSlistener

прослушиватель HTTPS

Слушатель Https обеспечивает безопасный доступ к серверу. Большинство важным параметром конфигурации является область безопасности, которая определяет SSL безопасный контекст.

К сожалению, документация не остается совместимой с атрибутом security-realm (ранее устанавливая хранилище ключей в ManagementRealm и ссылаясь на него в ssl-сфере). Поскольку я кладу хранилище ключей в ApplicationRealm, нам нужно ссылаться на него как таковое.

Кроме того, чтобы уточнить, вам нужно поместить это в подсистему подсистемы. Вот что я вставил прямо под тегом http-listenener:

<https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>

Ниже приведено полное тело подсистемы подсистемы .

<subsystem xmlns="urn:jboss:domain:undertow:2.0">
    <buffer-cache name="default"/>
    <server name="default-server">
        <http-listener name="default" socket-binding="http" redirect-socket="https"/>
        <https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>
        <host name="default-host" alias="localhost">
            <location name="/" handler="welcome-content"/>
            <filter-ref name="server-header"/>
            <filter-ref name="x-powered-by-header"/>
        </host>
    </server>
    <servlet-container name="default">
        <jsp-config/>
        <websockets/>
    </servlet-container>
    <handlers>
        <file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
    </handlers>
    <filters>
        <response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
        <response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
    </filters>
</subsystem>

А также тег сокет-привязка-группа, который определяет сами порты:

<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
    <socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
    <socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
    <socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
    <socket-binding name="http" port="${jboss.http.port:8080}"/>
    <socket-binding name="https" port="${jboss.https.port:8443}"/>
    <socket-binding name="iiop" interface="unsecure" port="3528"/>
    <socket-binding name="iiop-ssl" interface="unsecure" port="3529"/>
    <socket-binding name="txn-recovery-environment" port="4712"/>
    <socket-binding name="txn-status-manager" port="4713"/>
    <outbound-socket-binding name="mail-smtp">
        <remote-destination host="localhost" port="25"/>
    </outbound-socket-binding>
</socket-binding-group>

ПРИМЕЧАНИЕ:, вы заметите в прослушивателе HTTPS, на который мы ссылались name= "httpsServer" (это значение "httpServer" произвольно и может быть настроено на все, что вы пожелаете), сокет-привязка = "https" (это значение "https" должно соответствовать сокету https, указанному в группе привязки сокета) и security-realm = "ApplicationRealm" (это значение "ApplicationRealm" должно быть любым областью безопасности, в которое вы установили хранилище ключей).

В этой конфигурации вы должны обнаружить, что порты 8443 (защищенные) и 8080 (небезопасные) работают для доступа к службе приложений WildFly. Порт 9990 (небезопасный) по-прежнему работает для доступа к пользовательскому интерфейсу веб-администрирования, однако 9993 (безопасный пользовательский интерфейс администратора) не работает.

КОНСОЛЬ БЕЗОПАСНОЙ ADMIN

Я нашел эти инструкции, и они отлично работали.

http://www.mastertheboss.com/jboss-server/jboss-security/securing-access-to-jboss-wildfly-management-console

Первый шаг - создать ключ SSL:

keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypassword

ПРИМЕЧАНИЕ. Помните, что имя вашего сервера следует использовать, когда оно запрашивает имя/фамилию.

Затем настройте ManagementRealm в автономном-XXX.xml, чтобы включить хранилище ключей. Добавьте в тег идентификатор сервера ниже:

<server-identities>
    <ssl>
        <keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
    </ssl>
</server-identities>

Ниже показано, как выглядит полное ManagementRealm:

<security-realm name="ManagementRealm">
    <server-identities>
        <ssl>
            <keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
        </ssl>
    </server-identities>
    <authentication>
        <local default-user="$local" skip-group-loading="true"/>
        <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
    </authentication>
    <authorization map-groups-to-roles="false">
        <properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
    </authorization>
</security-realm>

Далее, интерфейсы управленияраздел файла standalone-XXX.xml использует привязку сокетов HTTP, и мы хотим привязать его к сокету HTTPS (в частности, к сокет management-https).

<management-interfaces>
    <http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
              <socket-binding https="management-https"/>
    </http-interface>
</management-interfaces>

ПРИМЕЧАНИЕ: посмотрите, как интерфейс ссылается на область безопасности ManagementRealm. Я попробовал это, просто ссылаясь на ApplicationRealm, не создавая отдельного хранилища ключей, и он все равно работал каким-то образом. Вероятно, наилучшей практикой является не повторное использование этого кода для обеих целей.

ПРИМЕЧАНИЕ. ниже указано определение разъема управления https, упомянутое в интерфейсе управления.

<socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>

ПРИМЕЧАНИЕ. для любого из определений сокетов вы можете (при необходимости) изменить номер порта.

REDIRECT HTTP to HTTPS

В вашем файле web.xml добавьте следующий фрагмент кода в тег веб-приложения.

<security-constraint>
    <web-resource-collection>
        <web-resource-name>WEB_APPLICATION_NAME</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

ПРИМЕЧАНИЕ.. Вам нужно указать имя своего приложения, где указано WEB_APPLICATION_NAME. Я не могу быть уверен в том, что бы это было во всех сценариях, но для меня, если развернутый файл войны - MyApp.war, тогда я помещаю MyApp там.

Для транспортной гарантии вы можете использовать CONFIDENTIAL, INTEGRAL или NONE. Обратите внимание на приведенный ниже URL: https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html, который будет описывать различия, однако он также указывает, что CONFIDENTIAL и INTEGRAL фактически одинаковы.

Как только этот код будет установлен, все готово. Идите и протестируйте его с помощью https через порт 8443, а затем с помощью http через порт 8080. Вы заметите, что когда вы используете http/8080, он отвечает, и ваш браузер переключается на https/8443. Если вы похожи на меня и не доверяете ему, вы можете скрутить его.

curl -vv -k -L -X GET http://localhost:8080/MyApp/rest/endpoint

Вы увидите вывод, похожий на следующий, демонстрирующий работу перенаправления:

Имя хоста не было найдено в кеше DNS
     Попытка 127.0.0.1...
   Подключен к localhost (127.0.0.1) порт 8080 (# 0)
   GET/MyApp/rest/endpoint HTTP/1.1
   User-Agent: curl/7.35.0
   Хост: localhost: 8080
   Принять:/

HTTP/1,1 302 Найдено
   Подключение: keep-alive
   X-Powered-By: Undertow/1
   Сервер WildFly/9 не занесен в черный список
   Сервер: WildFly/9
   Местоположение: https://localhost:8443/MyApp/rest/endpoint
   Content-Length: 0
   Дата: пт, 04 сен 2015 18:42:08 GMT

Соединение # 0 для размещения локального хоста без изменений
   Выполните другой запрос по этому URL-адресу: https://localhost:8443/MyApp/rest/endpoint

   Найденный узел для хоста localhost: 0x8d68f0
   Имя хоста не было найдено в кеше DNS
     Попытка 127.0.0.1...
   Подключен к localhost (127.0.0.1) порт 8443 (# 1)
   успешно установить места проверки сертификатов:
     CAfile: none
    CApath:/etc/ssl/certs
   SSLv3, рукопожатие TLS, приветствие клиента (1):
   SSLv3, рукопожатие TLS, приветствие сервера (2):
   SSLv3, рукопожатие TLS, CERT (11):
   SSLv3, рукопожатие TLS, обмен ключами сервера (12):
   SSLv3, рукопожатие TLS, завершение сервера (14):
   SSLv3, рукопожатие TLS, обмен ключами клиентов (16):
   SSLv3, шифр смены TLS, Client hello (1):
   SSLv3, рукопожатие TLS, завершено (20):
   SSLv3, шифр смены TLS, Client hello (1):
   SSLv3, рукопожатие TLS, завершено (20):
   SSL-соединение с использованием ECDHE-RSA-DES-CBC3-SHA
   Сертификат сервера:
       предмет: C = US; ST = Неизвестный; L = Неизвестный; O = Орг; OU = Unknown; CN = локальный
       дата начала: 2015-09-04 15:23:06 GMT
       срок действия: 2016-09-03 15:23:06 GMT
       эмитент: C = US; ST = Неизвестный; L = Неизвестный; O = Орг; OU = Unknown; CN = локальный
       Результат проверки сертификата SSL: самоподписанный сертификат (18), продолжающийся в любом случае.
   GET/MyApp/rest/endpoint HTTP/1.1
   User-Agent: curl/7.35.0
   Хост: localhost: 8443
   Принять:/

HTTP/1.1 200 Запрещенный
   Подключение: keep-alive
   X-Powered-By: Undertow/1
   Сервер WildFly/9 не занесен в черный список
   Сервер: WildFly/9
   Content-Type: application/json
   Контент-длина: 42
   Дата: пт, 04 сен 2015 18:42:08 GMT

Соединение №1 с локальным хостом оставлено без изменений

Ответ 2

ОБНОВЛЕНИЕ ДЛЯ Wildfly 10

В Wildlfy 10 еще проще обеспечить интерфейс управления. Первые два шага одинаковы:

1) Подготовьте ключ, например. с keytool (или вы также можете использовать openSSL)

keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypasswor

2) Добавьте SSL в себя ManagementRealm. Например:.

<security-realm name="ManagementRealm">
    <server-identities>
        <ssl>
            <keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
        </ssl>
    </server-identities>
    <authentication>
        <local default-user="$local" skip-group-loading="true"/>
...

ВАЖНАЯ РАЗЛИЧИЯ ПОСЛЕДУЕТ:

В http-interface вместо socket-binding у вас есть только socket.

По умолчанию он может выглядеть, например. например:

        <http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
            <socket interface="management" port="${jboss.management.http.port:9990}"/>
        </http-interface>

Просто измените порт на secure-port и выполните задание.

        <http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
            <socket interface="management" secure-port="${jboss.management.http.port:9990}"/>
        </http-interface>