红帽全球峰会1.11.10. 自定义 SSL 组件
在 elytron 子系统中配置 SSL/TLS 时,您可以提供和使用以下组件的自定义实施:
-
key-store -
key-manager -
trust-manager -
client-ssl-context -
server-ssl-context
不建议在 trust-manager 之外提供自定义实施,但不了解 Java 安全套接字扩展(JSSE)。
当使用 FIPS 时,无法使用自定义信任管理器或密钥管理器,因为为了安全起见,FIPS 需要将这些管理器嵌入 JDK 中。通过实施可验证 X509 事实的 SecurityRealm,可以实现类似的行为。
在创建自定义 Elytron 组件实施时,它们必须展示适当的功能和要求。有关功能和要求的详情,请参阅 JBoss EAP 安全架构指南的功能 https://access.redhat.com/documentation/en-us/red_hat_jboss_enterprise_application_platform/7.3/html-single/security_architecture/#capabilities_and_requirements 和要求部分。每个组件的实施细节由 JDK 供应商提供。
1.11.10.1. 将自定义组件添加到 Elytron
下列步骤描述了在 Elytron 中添加自定义组件。
将包含自定义组件提供程序的 JAR 作为模块添加到 JBoss EAP 中,声明任何必要的依赖项,如
javax.api:module add --name=MODULE_NAME --resources=FACTORY_JAR --dependencies=javax.api,DEPENDENCY_LIST
module add --name=MODULE_NAME --resources=FACTORY_JAR --dependencies=javax.api,DEPENDENCY_LISTCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要使用
模块管理 CLI 命令添加和删除模块,仅作为技术预览提供。此命令不适合在受管域中使用,或在远程连接管理 CLI 时使用。在生产环境中,应当手动添加和删除模块。如需更多信息,请参阅 手动创建自定义模块并手动 删除 JBoss EAP 配置指南中的自定义模块部分 。技术预览功能不包括在红帽生产服务级别协议(SLA)中,且其功能可能并不完善。因此,红帽不建议在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
如需有关技术预览功能支持范围的信息,请参阅红帽客户门户网站中的技术预览功能支持范围。
当组件添加到
elytron子系统时,将使用java.util.ServiceLoader来发现提供程序。或者,也可通过定义provider-loader来提供对提供程序的引用。有两种创建加载器的方法,并且每个组件只能实施一个。在定义
provider-loader时直接引用供应商:/subsystem=elytron/provider-loader=LOADER_NAME:add(class-names=[CLASS_NAME],module=MODULE_NAME)
/subsystem=elytron/provider-loader=LOADER_NAME:add(class-names=[CLASS_NAME],module=MODULE_NAME)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
META-INF/services/java.security.Provider中包含对提供程序的引用。当使用org.kohsuke.metain注释时,会自动创建此引用。当只使用这个方法时,需要由f-services中的 @MetaInfServicesprovider-loader引用该模块,如下所示:/subsystem=elytron/provider-loader=LOADER_NAME:add(module=MODULE_NAME)
/subsystem=elytron/provider-loader=LOADER_NAME:add(module=MODULE_NAME)Copy to Clipboard Copied! Toggle word wrap Toggle overflow
将自定义组件添加到 Elytron 的配置中,使用适当的元素来添加类型并引用任何定义的提供程序。
/subsystem=elytron/COMPONENT_NAME=NEW_COMPONENT:add(providers=LOADER_NAME,...)
/subsystem=elytron/COMPONENT_NAME=NEW_COMPONENT:add(providers=LOADER_NAME,...)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 例如,要定义信任管理器,需要使用
trust-manager元素,如下命令所示:示例:添加自定义信任管理器
/subsystem=elytron/trust-manager=newTrustManager:add(algorithm=MyX509,providers=customProvider,key-store=sampleKeystore)
/subsystem=elytron/trust-manager=newTrustManager:add(algorithm=MyX509,providers=customProvider,key-store=sampleKeystore)Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 定义之后,可以从其他元素引用该组件。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}