0

Glassfish v4 サーバーにインストールしたいワイルドカード証明書があります。証明書の形式を変換して Java キーストアにインポートした後 (他のトピックで既に説明したコマンドを使用) domain.xml、JKS のパスワードを含めるようにファイルを構成する必要があります。何かのようなもの:

<jvm-options>-Djavax.net.ssl.keyStore=/myappdir/keystore.jks</jvm-options>
<jvm-options>-Djavax.net.ssl.keyStorePassword=changeit</jvm-options>
<jvm-options>-Djavax.net.ssl.trustStore=/myappdir/cacerts.jks</jvm-options>
<jvm-options>-Djavax.net.ssl.trustStorePassword=changeit</jvm-options>
<jvm-options>-Djavax.net.ssl.keyAlias=myapp-cert</jvm-options>
<jvm-options>-Djavax.net.ssl.keyStoreAlias=myapp-cert</jvm-options>
<jvm-options>-Dcom.sun.enterprise.security.httpsOutboundKeyAlias=myapp-cert</jvm-options>

ここでの問題は、JKS のパスワードをファイルに挿入する必要があることですdomain.xml(「参考文献」を参照-Djavax.net.ssl.trustStorePassword=changeit)。これは、セキュリティ上の理由から適切ではないと思います。

パスワードを構成ファイルに保存せずに証明書をglassfish v4にインポートするより良い方法を知っている人はいますか?

4

1 に答える 1

2

一般に、別名を使用して domain.xml に機密データを格納することを避けることができます。

たとえば、「myApp」に使用される本番データベースの DB パスワードが「secretDBpassword」であると仮定すると、次のことができます。

パスワード エイリアスを作成します。

asadmin> create-password-alias myApp-production-db
Please enter the alias password>   // enter secretDBpassword
Please enter the alias password again>  // enter secretDBpassword
Command create-password-alias executed successfully.

password プロパティの値を次のように設定します。

${ALIAS=myApp-production-db}

これはパスワードに使用する必要はありません。任意の文字列をエイリアスとして保存できます。

ただし、あなたの場合、キーストアとトラストストアに使用されるパスワードについて話しています。これはマスター パスワードasadminで、次のコマンドで設定できます。

asadmin> change-master-password

のドキュメントchange-master-password

あなたの例で指摘したように、デフォルトはchangeitよく知られているので、「変更」することをお勧めします!

このようにマスター パスワードを使用すると、JVM オプションまたは domain.xml のどこかにパスワードを指定する必要がなくなります。

于 2017-08-22T15:11:57.540 に答える