4.3. 保护 Fuse 控制台
要保护 EAP 上的 Fuse 控制台,您可以:
将 HTTPS 设置为所需的协议
您可以使用
hawtio.http.strictTransportSecurity属性要求 Web 浏览器使用安全 HTTPS 协议来访问 Fuse 控制台。此属性指定尝试使用 HTTP 访问 Fuse 控制台的 Web 浏览器必须自动转换请求以使用 HTTPS。使用公钥保护响应
您可以使用
hawtio.http.publicKeyPins属性来保护 HTTPS 协议,方法是告诉 Web 浏览器将特定的加密公钥与 Fuse 控制台关联,以减少对伪证书进行"man-in-the-middle"攻击的风险。
流程
在 $EAP_HOME/standalone/configuration/standalone*.xml 文件的 system-properties 部分中设置 属性:
hawtio.http.strictTransportSecurity 和 hawtio.publicKeyPins
+
<property name="hawtio.http.strictTransportSecurity" value="max-age=31536000; includeSubDomains; preload"/> <property name="hawtio.http.publicKeyPins" value="pin-sha256=cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs"; max-age=5184000; includeSubDomains"/>
其他资源
-
有关
hawtio.http.strictTransportSecurity属性的语法的描述,请参阅 HTTP Strict Transport Security (HSTS) 响应标头的描述页面。 -
有关
hawtio.http.publicKeyPins属性的语法的描述,包括如何提取 Base64 编码公钥的说明,请参阅 HTTP 公钥 Pinning 响应标头 的描述页面。
