1

複数のドメインの自己署名SSL証明書を作成する方法はありますか?私の環境はjboss-5.1.0.GAです。

次のjavakeytoolコマンドを使用して、単一ドメインの自己署名SSL証明書をすでに作成しました。

 keytool -genkey -alias jbosskey -keypass changeit -keyalg RSA -keystore    server.keystore
 *Answer the prompts.  Use myHostname when asked for first/last name
 keytool -export -alias jbosskey -keypass changeit -file server.crt -keystore   server.keystore
 keytool -import -alias jbosscert -keypass changeit -file server.crt -keystore server.keystore

次に、次のようにJBOSSserver.xmlでSSLを有効にします。

 <Connector protocol="HTTP/1.1" SSLEnabled="true" 
       port="7443" address="${jboss.bind.address}"
       scheme="https" secure="true" clientAuth="false" 
       keystoreFile="${jboss.server.home.dir}/conf/server.keystore"
       keystorePass="changeit" sslProtocol = "TLS" />

これは正常に機能しています。次に、この証明書に別のドメイン名を追加する必要があります。

これは、サブドメインをサポートするワイルドカード証明書ではないことに注意してください。

私がする必要があるのは、完全に別個のドメイン名を単一のキーストアファイルに追加することです。

PS

私はApache+JBOSS環境に取り組んでいます。Apacheサーバーはプロキシとして機能します。

異なるドメインのapachehttpd-ssl.conf構成で個別のSSL証明書ファイルを提供できます。しかし、JBOSSに来たとき、それをどのように処理するかがわかりません。

apacheをプロキシとして使用する場合(つまり、apacheでsslを設定することを意味します)、JBOSSからのSSLを無視できますか?

エントリ(keystoreFile = "$ {jboss.server.home.dir} /conf/server.keystore")を無視しようとしましたが、エラーが発生します。

そうでない場合は、複数のドメインをサポートするSSL証明書なしでこの状況を処理する方法はありますか?

ありがとう

4

2 に答える 2

1

私がこれを正しく理解していれば、ApacheサーバーにSSL認証を処理させることができ、プロキシがSSL証明書を事前に処理している場合、JbossはSSL証明書を無視できます(JBossの設計では、デプロイメントからのSSL証明書の制御/認証が可能です) 、この場合は必要ないようです)

同様の設定があり、他の場所でホストされているプロキシがSSL認証を処理し、DMZを介してJBossサーバーにリクエストを転送します。JBossサーバーは証明書を無視できます。

于 2013-01-25T10:14:53.970 に答える
0

追加の回答を提供する場合、Apache + JBossの非常に一般的な設定は、JBossの前でApacheをある種のロードバランサー/リバースプロキシとして使用することです。SSL通信はApacheによって完全に行われます。また、HTTPの代わりにApacheとJBossの間でAJPを使用することをお勧めします。これは、明示的に読み取る必要のある追加のヘッダーとしてX-forwarded -...情報を使用する代わりに、サーブレットリクエストに必要なすべての情報を設定するためです。

この場合(mod_jkまたはmod_clusterのいずれかを使用)、Apacheの背後にあるJBossの複数のインスタンスを非常に簡単に管理することもできます。もちろん、ApacheとJBoss間の通信は暗号化されていません(AJPはSSLをサポートしていないことを私は知っています)。

暗号化された通信が必要で、Apacheがまだすべての外部SSL通信を行っている場合、ApacheとJBoss間の内部通信は1つの証明書でカバーするだけでよく、Apacheはその証明書を信頼する必要があります。

そしてもう1つ-既存のキーストアにインポートするだけで、複数の証明書/プライベートキーをキーストアに入れることができます。keystore -listを使用すると、キーストアのコンテンツを確認できます。私がまだテストしたことがないのは、JBossがSNIを使用して着信要求に対する正しい証明書/キーを識別するかどうかです。ただし、新しいJBossおよびJavaはデフォルトでSNIをサポートします。

于 2018-07-27T07:21:59.040 に答える