Я настроил свой сервер приложений jboss для использования SSL. Соответствующий отрывок из моей конфигурации ниже. Все работает нормально, однако некоторые люди выразили обеспокоенность по поводу keystorePass
атрибут в виде обычного текста. Есть ли способ скрыть / зашифровать это значение?
Я использую JBoss 4.2.2.GA (в Red Hat Enterprise Edition, если это имеет значение)
<Connector port="8080"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="/somewhere/some.keystore"
keystorePass="somePassword"
keyAlias="tomcat"/>
Изменить.Чтобы уйти от безопасности с помощью подхода неясности, альтернативой обфускации этого было бы вообще не предоставлять его и иметь подсказку tomcat для p / w при запуске. Однако, насколько мне известно, это не поддерживается. Кто-нибудь может подтвердить или опровергнуть это?
Согласно этой вики-записи Анила Салдханы, ведущего архитектора безопасности JBoss для JBoss, это возможно:
http://community.jboss.org/wiki/EncryptKeystorePasswordInTomcatConnector
Я лично не реализовал это, но я полагаю, что Анил знает предмет довольно хорошо.