Wildfly 9 httpからhttps
要求をHTTPからHTTPSにリダイレクトしたい。 Wildfly 9を使用しています。Googleで検索した結果、次のものが見つかりましたが、機能していません。私は誰かを願っています
<subsystem xmlns="urn:jboss:domain:undertow:2.0">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https"/>
<https-listener name="https" socket-binding="https" security-realm="SSLRealm"/>
<Host name="default-Host" alias="localhost">
<location name="/" handler="welcome-content"/>
<filter-ref name="server-header"/>
<filter-ref name="x-powered-by-header"/>
</Host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
<filters>
<response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
<response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
</filters>
</subsystem>
まず、これをWildFly 9.0.1.Finalに基づいており、HTTPSを介してSSLを有効にしようとしているだけで、認証を心配していないと想定しています。私はこれを理解するのに1日ほど費やしました。このドキュメントを作成します。
https://docs.jboss.org/author/display/WFLY9/Admin+Guide
最初に行うことは、ドキュメントで説明されているようにキーストアを作成することです。
https://docs.jboss.org/author/display/WFLY9/Admin+Guide#AdminGuide-EnableSSL
正しく答えるための本当に重要な質問は、姓と名を尋ねる質問です。そこに、アプリケーションサーバーのホスト名(例:localhost)を配置する必要があります。フォルダ{jboss.home}/standalone/configurationでターミナルウィンドウを開き、次のコマンドを入力します。
keytool -genkey -alias MY_ALIAS -keyalg RSA -keystore MY_KEYSTORE_FILENAME -validity 365`
注:、MY_ALIAS、MY_KEYSTORE_FILENAME、およびMY_PASSWORDは任意であり、必要に応じて設定できます。
次のステップは、同じ{jboss.home}/standalone/configurationディレクトリにあるstandalone-XXX.xmlファイルを変更することです。私はstandalone-full.xmlファイルを使用していますが、他のファイルでも同様に機能すると思います。
上記にリンクしたドキュメントの次のステップでは、SSLキーストア参照をManagementRealmに配置するよう指示しています。これはかなりの混乱を招く可能性があります。この応答のために、WildFlyを取得して、アプリケーションへのアクセス用にポート8443でSSLを有効にしようとしています。管理コンソールのSSLも有効にしましたが(ポート9993を使用)、それは後で使用します。
次のように、キーストア情報をApplicationRealmに入れることをお勧めします。
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="MY_KEYSTORE_FILENAME" relative-to="jboss.server.config.dir" keystore-password="MY_PASSWORD" alias="MY_ALIAS" key-password="MY_PASSWORD"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" allowed-users="*" skip-group-loading="true"/>
<properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization>
<properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
注:、このセクションのデフォルトファイルへの唯一の変更はserver-identitiesタグである必要があります。認証タグは、他に変更する理由がない限り、そのままにしておく必要があります)。
注:、MY_KEYSTORE_FILENAME、MY_ALIAS、およびMY_PASSWORDは、キーの作成時に指定した値と一致する必要があります。
今、ドキュメントは少しトリッキーになります。次のステップを実行するには、少し下にスクロールする必要がありますが、残念ながら、そうするようには指示されていません。 Wildflyにキーストアをインストールし、適切なセキュリティレルム内で構成したので、HTTPSリスナーをインストールし、キーストアにリンクする必要があります。
https://docs.jboss.org/author/display/WFLY9/Admin+Guide#AdminGuide-HTTPSlistener
HTTPSリスナー
Httpsリスナーは、サーバーへの安全なアクセスを提供します。最も重要な構成オプションは、SSLセキュアコンテキストを定義するセキュリティレルムです。
残念ながら、ドキュメントはsecurity-realm属性と一貫性を保っていません(以前にManagementRealmにキーストアをインストールし、ssl-realmでそれを参照していました)。キーストアをApplicationRealmに配置するため、そのように参照する必要があります。
さらに、明確にするために、これをundertowサブシステム内に配置する必要があります。これは、http-listenerタグのすぐ下に挿入したものです。
<https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>
以下は、undertowサブシステムの完全な本体です。
<subsystem xmlns="urn:jboss:domain:undertow:2.0">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https"/>
<https-listener name="httpsServer" socket-binding="https" security-realm="ApplicationRealm"/>
<Host name="default-Host" alias="localhost">
<location name="/" handler="welcome-content"/>
<filter-ref name="server-header"/>
<filter-ref name="x-powered-by-header"/>
</Host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
<filters>
<response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
<response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
</filters>
</subsystem>
また、ポート自体を定義するsocket-binding-groupタグ:
<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
<socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
<socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
<socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
<socket-binding name="http" port="${jboss.http.port:8080}"/>
<socket-binding name="https" port="${jboss.https.port:8443}"/>
<socket-binding name="iiop" interface="unsecure" port="3528"/>
<socket-binding name="iiop-ssl" interface="unsecure" port="3529"/>
<socket-binding name="txn-recovery-environment" port="4712"/>
<socket-binding name="txn-status-manager" port="4713"/>
<outbound-socket-binding name="mail-smtp">
<remote-destination Host="localhost" port="25"/>
</outbound-socket-binding>
</socket-binding-group>
注:、HTTPSリスナーでname = "httpsServer"を参照していることに気付くでしょう(この値 'httpServer'は任意であり、任意の値に設定できますwish)、socket-binding = "https"(この値 'https'はsocket-bindingグループにリストされているhttpsソケットと一致する必要があります)およびsecurity-realm = "ApplicationRealm"(この値 'ApplicationRealm'はインストールしたセキュリティレルムである必要があります)のキーストア)。
この構成では、ポート8443(セキュア)と8080(非セキュア)の両方がWildFlyのアプリケーションサービスにアクセスするために機能することがわかります。ポート9990(非セキュア)は引き続きWeb管理UIにアクセスできますが、9993(セキュア管理UI)は機能しません。
安全な管理コンソール
私はこれらの指示を見つけ、それらは完全に機能しました。
最初のステップは、SSLキーを作成することです。
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypassword
[〜#〜] note [〜#〜]:覚えておいてください、あなたのサーバー名は名/姓を尋ねるときに使用されるべきです.
次に、standalone-XXX.xmlでManagementRealmを構成して、キーストアを含めます。以下のserver-identitiesタグに追加します。
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
完全なManagementRealmは次のようになります。
<security-realm name="ManagementRealm">
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" skip-group-loading="true"/>
<properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization map-groups-to-roles="false">
<properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
次に、standalone-XXX.xmlファイルのmanagement-interfacesセクションはHTTPソケットバインディングを使用し、HTTPSソケットにバインドします(具体的には、management-httpsソケット)。
<management-interfaces>
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket-binding https="management-https"/>
</http-interface>
</management-interfaces>
注:インターフェースがManagementRealmセキュリティレルムを参照する方法を参照してください。別のキーストアを作成せずにApplicationRealmを参照するだけで試してみましたが、それでも何とか機能しました。おそらく、両方の目的でそのコードを再利用しないことをお勧めします。
注:以下は、管理インターフェースで参照される管理httpsソケット定義です。
<socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
注:任意のソケット定義について、(必要に応じて)ポート番号を変更できます。
HTTPからHTTPSへのリダイレクト
Web.xmlファイルで、web-appタグ内に次のコードチャンクを挿入します。
<security-constraint>
<web-resource-collection>
<web-resource-name>WEB_APPLICATION_NAME</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
注:WEB_APPLICATION_NAMEと言う場所にアプリケーションの名前を入力する必要があります。すべてのシナリオでそれがどうなるかはわかりませんが、私にとっては、展開するwarファイルがMyApp.warである場合、そこにMyAppを配置します。
Transport-guaranteeには、CONFIDENTIAL、INTEGRAL、またはNONEのいずれかを使用できます。以下のURLに注意してください: https://docs.Oracle.com/cd/E19798-01/821-1841/bncbk/index.html 違いを説明しますが、また、CONFIDENTIALとINTEGRALは事実上同じであると述べています。
そのコードがインストールされると、完了です。先に進み、ポート8443経由でhttpsを使用してテストし、次にポート8080経由でhttpを使用します。http/ 8080を使用すると応答し、ブラウザーがhttps/8443に切り替わります。あなたが私のようで、それを信用しなかった場合、あなたはそれをカールすることができます。
curl -vv -k -L -X GET http://localhost:8080/MyApp/rest/endpoint
次のような出力が表示され、リダイレクトが機能していることが示されます。
ホスト名がDNSキャッシュで見つかりませんでした
127.0.0.1を試行しています...
localhost(127.0.0.1)ポート8080(#0)に接続しました
GET/MyApp/rest/endpoint HTTP/1.1
ユーザーエージェント:curl/7.35.0
ホスト:localhost:8080
同意:/HTTP/1.1 302が見つかりました
接続:キープアライブ
X-Powered-By:Undertow/1
サーバーWildFly/9はブラックリストに登録されていません
サーバー:WildFly/9
場所: https:// localhost:8443/MyApp/rest/endpoint
コンテンツの長さ:0
日付:2015年9月4日金曜日18:42:08 GMTホストlocalhostへの接続#0はそのまま残されます
次のURLへの別のリクエストを発行してください: ' https:// localhost:8443/MyApp/rest/endpoint '
ホストlocalhostのバンドルが見つかりました:0x8d68f0
ホスト名がDNSキャッシュに見つかりませんでした
127.0.0.1を試行しています...
localhost(127.0.0.1)ポート8443(#1)に接続
証明書検証場所の設定に成功しました:
CAfile:なし
CApath:/ etc/ssl/certs
SSLv3、TLSハンドシェイク、クライアントhello(1):
SSLv3、TLSハンドシェイク、Server hello(2):
SSLv3、TLSハンドシェイク、CERT(11):
SSLv3、TLSハンドシェイク、サーバーキー交換(12):
SSLv3、TLSハンドシェイク、サーバー終了(14):
SSLv3、TLSハンドシェイク、クライアントキー交換(16):
SSLv3、TLS変更暗号、クライアントhello(1):
SSLv3、TLSハンドシェイク、終了(20):
SSLv3、TLS変更暗号、クライアントhello(1):
SSLv3、TLSハンドシェイク、終了(20):
ECDHE-RSA-DES-CBC3-SHAを使用したSSL接続
サーバー証明書:
件名:C = US; ST =不明; L =不明; O = Org; OU =不明; CN = localhost
開始日:2015-09-04 15:23:06 GMT
有効期限:2016-09-03 15:23:06 GMT
発行者:C = US; ST =不明; L =不明; O = Org; OU =不明; CN = localhost
SSL証明書の検証結果:自己署名証明書(18)、とにかく続行します。
GET/MyApp/rest/endpoint HTTP/1.1
ユーザーエージェント:curl/7.35.0
ホスト:localhost:8443
同意:/HTTP/1.1 200禁止
接続:キープアライブ
X-Powered-By:Undertow/1
サーバーWildFly/9はブラックリストに登録されていません
サーバー:WildFly/9
Content-Type:application/json
コンテンツの長さ:42
日付:2015年9月4日金曜日18:42:08 GMTホストlocalhostへの接続#1はそのまま
Wildfly 10の更新
Wildlfy 10では、管理インターフェイスの保護がさらに簡単になりました。最初の2つの手順は同じです。
1)キーを準備します。 keytoolを使用(またはopenSSLも使用できます)
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 7360 -keystore server.keystore -keypass mypassword -storepass mypasswor
2)SSLをManagementRealmに追加します。例えば。:
<security-realm name="ManagementRealm">
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="mypassword" alias="serverkey" key-password="mypassword"/>
</ssl>
</server-identities>
<authentication>
<local default-user="$local" skip-group-loading="true"/>
...
重要な違いIS AS FOLLOWS:
http-interface、 の代わりに socket-bindingちょうどsocketがあります。
デフォルトでは、たとえば次のように:
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket interface="management" port="${jboss.management.http.port:9990}"/>
</http-interface>
portをsecure-portに変更するだけで、ジョブは完了です。
<http-interface security-realm="ManagementRealm" http-upgrade-enabled="true">
<socket interface="management" secure-port="${jboss.management.http.port:9990}"/>
</http-interface>