红帽全球峰会第 15 章 使用密钥存储保护密码
您可以使用密钥存储来加密用于 Business Central 和 KIE 服务器之间的通信的密码。您应该加密控制器和 KIE 服务器密码。如果 Business Central 和 KIE 服务器部署到不同的应用服务器,则两个应用服务器将使用密钥存储。
为您的密钥存储使用 Java CryptographyExtension KeyStore (JCEKS),因为它支持对称密钥。使用 KeyTool ( JDK 安装的一部分)来创建新的 JCEKS。
如果没有使用 JCEKS 配置 KIE 服务器,KIE 服务器密码会以纯文本形式存储在系统属性中。
先决条件
- KIE 服务器安装在红帽 JBoss EAP 中。
- 安装了 Java 8 或更高版本。
流程
在 Red Hat JBoss EAP 主目录中,输入以下命令创建带有
kie-server角色的 KIE Server 用户并指定密码。在以下示例中,将 <USERNAME> 和 <PASSWORD> 替换为您选择的用户名和密码。$<EAP_HOME>./bin/jboss-cli.sh --commands="embed-server --std-out=echo,/subsystem=elytron/filesystem-realm=ApplicationRealm:add-identity(identity=<USERNAME>),/subsystem=elytron/filesystem-realm=ApplicationRealm:set-password(identity=<USERNAME>, clear={password='<PASSWORD>'}),/subsystem=elytron/filesystem-realm=ApplicationRealm:add-identity-attribute(identity=<USERNAME>, name=role, value=['kie-server'])"$<EAP_HOME>./bin/jboss-cli.sh --commands="embed-server --std-out=echo,/subsystem=elytron/filesystem-realm=ApplicationRealm:add-identity(identity=<USERNAME>),/subsystem=elytron/filesystem-realm=ApplicationRealm:set-password(identity=<USERNAME>, clear={password='<PASSWORD>'}),/subsystem=elytron/filesystem-realm=ApplicationRealm:add-identity-attribute(identity=<USERNAME>, name=role, value=['kie-server'])"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要使用 KeyTool 创建 JCEKS,请在 Java 8 主目录中输入以下命令:
$<JAVA_HOME>/bin/keytool -importpassword -keystore <KEYSTORE_PATH> -keypass <ALIAS_KEY_PASSWORD> -alias <PASSWORD_ALIAS> -storepass <KEYSTORE_PASSWORD> -storetype JCEKS
$<JAVA_HOME>/bin/keytool -importpassword -keystore <KEYSTORE_PATH> -keypass <ALIAS_KEY_PASSWORD> -alias <PASSWORD_ALIAS> -storepass <KEYSTORE_PASSWORD> -storetype JCEKSCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,替换以下变量:
-
<KEYSTORE_PATH> :密钥存储将存储的路径 -
<KEYSTORE_PASSWORD> :密钥存储密码 -
<ALIAS_KEY_PASSWORD> :用于访问使用别名存储的值的密码 -
<PASSWORD_ALIAS> :进程条目的别名
-
- 出现提示时,输入您创建的 KIE Server 用户的密码。
在
EAP_HOME/standalone/configuration/standalone-full.xml文件中设置以下系统属性,并替换下表中列出的占位符:Copy to Clipboard Copied! Toggle word wrap Toggle overflow Expand 表 15.1. 用于加载 KIE 服务器 JCEKS 的系统属性 系统属性 占位符 描述 kie.keystore.keyStoreURL<KEYSTORE_URL>要使用的 JCEKS 的 URL,例如
file:///home/kie/keystores/keystore.jcekskie.keystore.keyStorePwd<KEYSTORE_PWD>JCEKS 的密码
kie.keystore.key.server.alias<KEY_SERVER_ALIAS>存储密码的 REST 服务的密钥别名
kie.keystore.key.server.pwd<KEY_SERVER_PWD>带有存储密码的 REST 服务别名的密码
kie.keystore.key.ctrl.alias<KEY_CONTROL_ALIAS>存储密码的默认 REST Process Automation Controller 的密钥别名
kie.keystore.key.ctrl.pwd<KEY_CONTROL_PWD>带有存储密码的默认 REST Process Automation Controller 的别名密码
- 启动 KIE 服务器以验证配置。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}