在 JBoss 4.2.2 GA 中混淆密钥库密码

tag-icon tag-icon ssl configuration tomcat jboss application-server
在 JBoss 4.2.2 GA 中混淆密钥库密码

我已经将 jboss 应用服务器设置为使用 SSL。下面是我的配置的相关摘录。一切正常,但有些人担心该keystorePass属性是纯文本。有什么方法可以混淆/加密这个值吗?

我正在使用 JBoss 4.2.2.GA(在 Red Hat Enterprise Edition 上,如果有任何区别的话)

<Connector port="8080" 
    protocol="HTTP/1.1" 
    SSLEnabled="true"
    maxThreads="150" 
    scheme="https" 
    secure="true"
    clientAuth="false" 
    sslProtocol="TLS"
    keystoreFile="/somewhere/some.keystore"
    keystorePass="somePassword"
    keyAlias="tomcat"/>

编辑,为了摆脱通过模糊方法实现的安全性,混淆的替代方法是根本不提供它,并让 tomcat 在启动时提示输入密码。但是据我所知,这不受支持。有人可以确认或否认这一点吗?

答案1

根据 JBoss 首席安全架构师 Anil Saldhana 的 wiki 条目,这是可能的:

http://community.jboss.org/wiki/EncryptKeystorePasswordInTomcatConnector

我个人没有实现过这一点,但我想阿尼尔非常了解这个主题。

相关内容