Wildfly 9 http в https
Я хочу перенаправить запрос с HTTP на HTTPS. Я использую wildfly 9. После поиска в Google я нашел следующее, но оно не работает. Надеюсь кто-нибудь
<subsystem xmlns="urn:jboss:domain:undertow:2.0">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https"/>
<https-listener name="https" socket-binding="https" security-realm="SSLRealm"/>
<host name="default-host" alias="localhost">
<location name="/" handler="welcome-content"/>
<filter-ref name="server-header"/>
<filter-ref name="x-powered-by-header"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
<filters>
<response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
<response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
</filters>
</subsystem>
3 ответа
Во-первых, я основываюсь на этом из WildFly 9.0.1.Final и предполагаю, что вы просто пытаетесь включить SSL через HTTPS и не беспокоитесь об аутентификации. Я просто потратил около дня, чтобы понять все это. Отработайте эту документацию:
https://docs.jboss.org/author/display/WFLY9/Admin+Guide
Первое, что вы хотите сделать, это создать хранилище ключей, как описано в документации.
https://docs.jboss.org/author/display/WFLY9/Admin+Guide
Действительно важный вопрос, на который нужно ответить правильно, это вопрос о том, как вас зовут по имени и фамилии Там вам нужно указать имя хоста сервера приложений (например, localhost). Откройте окно терминала в папке {jboss.home}/standalone/configuration и введите следующую команду:
keytool -genkey -alias MY_ALIAS -keyalg RSA -keystore MY_KEYSTORE_FILENAME -validity 365`
ПРИМЕЧАНИЕ., MY_ALIAS, MY_KEYSTORE_FILENAME и MY_PASSWORD являются произвольными, и вы можете установить их по своему усмотрению.
Следующим шагом является изменение файла standalone-XXX.xml в том же каталоге {jboss.home}/standalone/configuration. Я использую файл standalone-full.xml, однако считаю, что это будет работать и для других.
Следующий шаг в документации, на которую я ссылался выше, говорит нам поместить ссылку на хранилище ключей SSL в ManagementRealm. Это может привести к путанице. В этом ответе я пытаюсь заставить WildFly включить SSL через порт 8443 для доступа к моим приложениям. Хотя я также включил SSL для консоли управления (через порт 9993), это будет позже.
Я предлагаю поместить информацию о хранилище ключей в ApplicationRealm следующим образом:
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="MY_KEYSTORE_FILENAME" relative-to="jboss.server.config.dir" keystore-password="MY_PASSWORD" alias="MY_ALIAS" key-password="MY_PASSWORD"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" allowed-users="*" skip-group-loading="true"/>
<properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization>
<properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
ПРИМЕЧАНИЕ. Единственным изменением файла по умолчанию в этом разделе должен быть тег server-identity. Тег аутентификации должен быть оставлен в покое, если у вас нет других причин для его изменения).
ПРИМЕЧАНИЕ., MY_KEYSTORE_FILENAME, MY_ALIAS и MY_PASSWORD должны соответствовать значениям, которые вы указали при создании ключа.
Теперь документация становится немного сложнее. Теперь вам нужно немного прокрутить вниз, чтобы сделать следующий шаг, хотя, к сожалению, он не говорит вам об этом. Теперь, когда у вас есть хранилище ключей, установленное в Wildfly и настроенное в соответствующей области безопасности, вам нужно установить прослушиватель HTTPS и связать его с хранилищем ключей.
https://docs.jboss.org/author/display/WFLY9/Admin+Guide
Слушатель HTTPS
Https Listener обеспечивает безопасный доступ к серверу. Наиболее важным параметром конфигурации является область безопасности, которая определяет безопасный контекст SSL.
К сожалению, документация не согласуется с атрибутом security-realm (ранее устанавливая хранилище ключей в ManagementRealm и ссылаясь на него в ssl-realm). Так как я поместил хранилище ключей в ApplicationRealm, мы должны ссылаться на него как таковой.
Кроме того, просто чтобы уточнить, вам нужно поместить это в подсистему undertow. Вот что я вставил прямо под тегом http-listener:
<https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>
Ниже приведено полное тело подсистемы undertow.
<subsystem xmlns="urn:jboss:domain:undertow:2.0">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https"/>
<https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>
<host name="default-host" alias="localhost">
<location name="/" handler="welcome-content"/>
<filter-ref name="server-header"/>
<filter-ref name="x-powered-by-header"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
<filters>
<response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
<response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
</filters>
</subsystem>
А также тег socket-binding-group, который определяет сами порты:
<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
<socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
<socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
<socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
<socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/>
<socket-binding name="iiop" interface="unsecure" port="3528"/>
<socket-binding name="iiop-ssl" interface="unsecure" port="3529"/>
<socket-binding name="txn-recovery-environment" port="4712"/>
<socket-binding name="txn-status-manager" port="4713"/>
<outbound-socket-binding name="mail-smtp">
<remote-destination host="localhost" port="25"/>
</outbound-socket-binding>
</socket-binding-group>
ПРИМЕЧАНИЕ: вы заметите, что в прослушивателе HTTPS, на который мы ссылаемся, name="httpsServer" (это значение 'httpServer' является произвольным и может быть установлено на ваше усмотрение), socket-binding="https" (это значение "https" должно совпадать сокет https, указанный в группе привязки сокетов) и security-realm="ApplicationRealm" (это значение 'ApplicationRealm' должно соответствовать любой области безопасности, в которой вы установили хранилище ключей).
С этой конфигурацией вы должны обнаружить, что порты 8443 (безопасный) и 8080 (незащищенный) работают для доступа к службе приложений WildFly. Порт 9990 (незащищенный) по-прежнему работает для доступа к интерфейсу веб-администрирования, однако 9993 (безопасный интерфейс администратора) - нет.
БЕЗОПАСНЫЙ АДМИН КОНСОЛЬ
Я нашел эти инструкции, и они работали отлично.
Первый шаг - создать ключ SSL:
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypassword
ПРИМЕЧАНИЕ. Помните, что имя вашего сервера следует использовать, когда оно запрашивает имя / фамилию.
Затем настройте ManagementRealm в standalone-XXX.xml, чтобы включить хранилище ключей. Добавьте в тег server-identity ниже:
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
Ниже показано, как выглядит весь ManagementRealm:
<security-realm name="ManagementRealm">
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" skip-group-loading="true"/>
<properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization map-groups-to-roles="false">
<properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
Затем в разделе интерфейсов управления файла standalone-XXX.xml используется привязка к сокету HTTP, и мы хотим привязать его к сокету HTTPS (в частности, к сокету управления https).
<management-interfaces>
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket-binding https="management-https"/>
</http-interface>
</management-interfaces>
ПРИМЕЧАНИЕ. Посмотрите, как интерфейс ссылается на область безопасности ManagementRealm. Я попробовал это, просто ссылаясь на ApplicationRealm, не создавая отдельного хранилища ключей, и оно все равно как-то работало. Вероятно, лучше не использовать этот код для обеих целей.
ПРИМЕЧАНИЕ: ниже приведено определение сокета management-https, на которое ссылается интерфейс управления.
<socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
ПРИМЕЧАНИЕ: для любого из определений сокетов вы можете (при необходимости) изменить номер порта.
НАПРАВЛЯЙТЕ HTTP НА HTTPS
В своем файле web.xml вставьте следующий фрагмент кода в тег веб-приложения.
<security-constraint>
<web-resource-collection>
<web-resource-name>WEB_APPLICATION_NAME</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
ПРИМЕЧАНИЕ. Вам нужно указать название вашего приложения, где написано WEB_APPLICATION_NAME. Я не могу быть уверен, что это будет во всех сценариях, но для меня, если развертываемый файл войны - MyApp.war, тогда я помещаю туда MyApp.
Вы можете использовать КОНФИДЕНЦИАЛЬНО, ИНТЕГРАЛЬНО или НЕТ для гарантии транспортировки. Обратите внимание на следующий URL: https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html котором будут описаны различия, однако в нем также говорится, что CONFIDENTIAL и INTEGRAL фактически одинаковы.
Как только этот код установлен, все готово. Протестируйте его с помощью https через порт 8443, а затем с помощью http через порт 8080. Вы заметите, что когда вы используете http/8080, он отвечает, и ваш браузер переключается на https/8443. Если вы похожи на меня и не доверяете этому, вы можете свернуться.
curl -vv -k -L -X GET http://localhost:8080/MyApp/rest/endpoint
Вы увидите вывод, похожий на следующий, демонстрирующий работу перенаправления:
Имя хоста НЕ найдено в кеше DNS
Попытка 127.0.0.1...
Соединен с локальным (127.0.0.1) портом 8080 (# 0)
GET / MyApp / rest / endpoint HTTP / 1.1
Пользователь-агент: curl/7.35.0
Хост: localhost:8080
Принять: /HTTP / 1.1 302 найдено
Подключение: keep-alive
X-Powered-By: Undertow / 1
Сервер WildFly/9 не занесен в черный список
Сервер: WildFly/9
Расположение: https://localhost:8443/MyApp/rest/endpoint
Длина контента: 0
Дата: пт, 04 сен 2015 18:42:08 GMTСоединение № 0 с локальным хостом осталось нетронутым
Выполните еще один запрос по этому URL: " https://localhost:8443/MyApp/rest/endpoint"
Найден пакет для хоста localhost: 0x8d68f0
Имя хоста НЕ найдено в кеше DNS
Попытка 127.0.0.1...
Подключен к локальному (127.0.0.1) порту 8443 (#1)
Успешно настроен сертификат, проверьте местоположения:
CAfile: нет
CApath: / etc / ssl / certs
SSLv3, рукопожатие TLS, клиент привет (1):
SSLv3, рукопожатие TLS, сервер привет (2):
SSLv3, рукопожатие TLS, CERT (11):
SSLv3, рукопожатие TLS, обмен ключами сервера (12):
SSLv3, рукопожатие TLS, сервер завершен (14):
SSLv3, TLS handshake, обмен ключами клиента (16):
SSLv3, шифр изменения TLS, клиент привет (1):
SSLv3, TLS handshake, Завершено (20):
SSLv3, шифр изменения TLS, клиент привет (1):
SSLv3, TLS handshake, Завершено (20):
SSL-соединение с использованием ECDHE-RSA-DES-CBC3-SHA
Сертификат сервера:
тема: C= США; ST= Неизвестный; L= Неизвестный; O= Орг; OU=Unknown; CN= локальный
дата начала: 2015-09-04 15:23:06 GMT
Срок годности: 2016-09-03 15:23:06 GMT
эмитент: C=US; ST= Неизвестный; L= Неизвестный; O= Орг; OU=Unknown; CN= локальный
Результат проверки сертификата SSL: самоподписанный сертификат (18), в любом случае продолжается.
GET / MyApp / rest / endpoint HTTP / 1.1
Пользователь-агент: curl/7.35.0
Хост: localhost:8443
Принять: /HTTP / 1.1 200 Запрещено
Подключение: keep-alive
X-Powered-By: Undertow / 1
Сервер WildFly/9 не занесен в черный список
Сервер: WildFly/9
Тип контента: приложение / JSON
Длина контента: 42
Дата: пт, 04 сен 2015 18:42:08 GMTСоединение № 1 с локальным хостом осталось нетронутым
ОБНОВЛЕНИЕ ДЛЯ Wildfly 10
В Wildlfy 10 еще проще защитить интерфейс управления. Первые два шага одинаковы:
1) Подготовьте ключ, например, с помощью keytool (или вы также можете использовать openSSL)
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypasswor
2) Добавьте SSL в свой ManagementRealm. Например:
<security-realm name="ManagementRealm">
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" skip-group-loading="true"/>
...
ВАЖНАЯ РАЗНИЦА, КАК ПОСЛЕДУЮЩАЯ:
В http-interface, вместо socket-binding ты только что socket,
По умолчанию это может выглядеть, например, следующим образом:
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket interface="management" port="${jboss.management.http.port:9990}"/>
</http-interface>
Просто измените порт на безопасный порт, и работа сделана.
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket interface="management" secure-port="${jboss.management.http.port:9990}"/>
</http-interface>
Я думаю, что основной источник путаницы заключается в том, что WildFly может быть установлен двумя способами: как автономный сервер ИЛИ с прокси-серверами Apache из Bitnami WildFly Stacks. Apache имеет СОБСТВЕННЫЕ ключи и сертификат в/opt/bitnami/apache2/conf, в то время как в автономной установке WildFly они/opt/bitnami/wildfly/standalone/configuration. если вы следуете инструкциям Brooks с Bitnami WildFly Stack, когда клиент пытается получить доступhttps//your-site.com, Apache выполнит первое рукопожатие, а ЗАТЕМ запрос перенаправится в WildFly, который выполнит второе рукопожатие. Многие игнорируют этот факт и пытаются настроить WildFly, когда нужно настроить Apache, или они настраивают Apache, но забывают соответствующим образом настроить переадресацию портов.
Прочтите принятый ответ Штеффена Ульриха здесь: Перенаправление запросов Https на Apache для Wildfly
Итак, для автономного WildFly сделайте это и только это:
Для WildFly с прокси-серверами Apache из Bitnami Stack сделайте следующее: https://docs.bitnami.com/virtual-machine/infrastructure/wildfly/administration/enable-apache-ssl-wildfly/ И ТОГДА также это: https://docs.bitnami.com/virtual-machine/infrastructure/wildfly/administration/enable-ssl-wildfly/https://docs .bitnami.com/virtual-machine/infrastructure/wildfly/administration/enable-ssl-wildfly/