主页
产品
Red Hat JBoss Enterprise Application Platform
7.3
How to Configure Server Security
1.2.14. 当 JVM 在 FIPS 模式中运行时启动受管域

1.2.14. 当 JVM 在 FIPS 模式中运行时启动受管域

更新每个主机控制器和主域控制器，以使用 SSL/TLS 进行通信。

先决条件

开始之前，请确保您已完成以下前提条件：

您已实施受管域。
有关配置受管域的详细信息，请参阅 JBoss EAP 配置指南中的 https://access.redhat.com/documentation/en-us/red_hat_jboss_enterprise_application_platform/7.3/html-single/configuration_guide/#domain_management 域管理章节。
您已配置了 FIPS。
有关配置 FIPS 的详情，请参考在 Red Hat Enterprise Linux 7 及之后的版本中为 SSL/TLS 启用 FIPS 140-2 Cryptography。
您已创建了所有必要的证书，并将域控制器的证书导入到每个控制器的信任存储中。

警告

红帽建议明确禁用 SSLv2、SSLv3 和 TLSv1.0，而不是在所有受影响的软件包中使用 TLSv1.1。

在主域控制器上，创建一个 SSL/TLS 安全域，它将 NSS 数据库用作 PKCS11 提供程序。

示例：主域控制器上的安全域

<security-realm name="HTTPSRealm">
    <server-identities>
        <ssl>
            <engine enabled-protocols="TLSv1.1"/>
            <keystore provider="PKCS11" keystore-password="strongP@ssword1"/>
        </ssl>
    </server-identities>
    <authentication>
        <local default-user="\$local"/>
        <properties path="https-users.properties" relative-to="jboss.domain.config.dir"/>
    </authentication>
</security-realm>

<security-realm name="HTTPSRealm">
    <server-identities>
        <ssl>
            <engine enabled-protocols="TLSv1.1"/>
            <keystore provider="PKCS11" keystore-password="strongP@ssword1"/>
        </ssl>
    </server-identities>
    <authentication>
        <local default-user="\$local"/>
        <properties path="https-users.properties" relative-to="jboss.domain.config.dir"/>
    </authentication>
</security-realm>

Copy to Clipboard

Toggle word wrap

在每个主机控制器上，创建一个用于身份验证的 SSL/TLS 信任存储的安全域。

示例：每个主机控制器上的安全域

<security-realm name="HTTPSRealm">
  <authentication>
    <truststore provider="PKCS11" keystore-password="strongP@ssword1"/>
  </authentication>
</security-realm>

<security-realm name="HTTPSRealm">
  <authentication>
    <truststore provider="PKCS11" keystore-password="strongP@ssword1"/>
  </authentication>
</security-realm>

Copy to Clipboard

Toggle word wrap

注意

在每一主机上重复此过程。

使用您刚才创建的安全域，保护主域控制器上的 HTTP 接口。

示例：HTTP 接口

<management-interfaces>
    <http-interface security-realm="HTTPSRealm">
        <http-upgrade enabled="true"/>
        <socket interface="management" port="${jboss.management.http.port:9990}"/>
    </http-interface>
</management-interfaces>

<management-interfaces>
    <http-interface security-realm="HTTPSRealm">
        <http-upgrade enabled="true"/>
        <socket interface="management" port="${jboss.management.http.port:9990}"/>
    </http-interface>
</management-interfaces>

Copy to Clipboard

Toggle word wrap

使用每个主机控制器上的 SSL/TLS 域，连接主域控制器。

更新用于连接 master 域控制器的安全域。修改主机控制器的配置文件，如 host.xml 或 host -slave.xml，而服务器未在运行。

示例：主机控制器配置文件

<domain-controller>
  <remote security-realm="HTTPSRealm">
    <discovery-options>
      <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9990}"/>
    </discovery-options>
  </remote>
</domain-controller>

<domain-controller>
  <remote security-realm="HTTPSRealm">
    <discovery-options>
      <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9990}"/>
    </discovery-options>
  </remote>
</domain-controller>

Copy to Clipboard

Toggle word wrap

更新每台服务器如何连接其主机控制器。

示例：服务器配置

<server name="my-server" group="my-server-group">
  <ssl ssl-protocol="TLS" trust-manager-algorithm="SunX509" truststore-type="PKCS11" truststore-password="strongP@ssword1"/>
</server>

<server name="my-server" group="my-server-group">
  <ssl ssl-protocol="TLS" trust-manager-algorithm="SunX509" truststore-type="PKCS11" truststore-password="strongP@ssword1"/>
</server>

Copy to Clipboard

Toggle word wrap

在受管域中配置双向 SSL/TLS。

要启用双向 SSL/TLS，在 master 域控制器的 SSL/TLS 安全域中添加 truststore 身份验证方法，执行以下管理 CLI 命令：

/host=master/core-service=management/security-realm=HTTPSRealm/authentication=truststore:add(keystore-provider="PKCS11",keystore-password="strongP@ssword1")

reload --host=master

/host=master/core-service=management/security-realm=HTTPSRealm/authentication=truststore:add(keystore-provider="PKCS11",keystore-password="strongP@ssword1")

reload --host=master

Copy to Clipboard

Toggle word wrap

您还需要更新每个主机控制器的安全域，使其具有 SSL 服务器身份，并且执行以下管理 CLI 命令：

/host=host1/core-service=management/security-realm=HTTPSRealm/server-identity=ssl:add(keystore-provider=PKCS11, keystore-password="strongP@ssword1",enabled-protocols=["TLSv1.1"])

reload --host=host1

/host=host1/core-service=management/security-realm=HTTPSRealm/server-identity=ssl:add(keystore-provider=PKCS11, keystore-password="strongP@ssword1",enabled-protocols=["TLSv1.1"])

reload --host=host1

Copy to Clipboard

Toggle word wrap

重要

您还需要确保每个主机的证书已导入到域控制器的信任存储中。

返回顶部

1.2.14. 当 JVM 在 FIPS 模式中运行时启动受管域

先决条件

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links