11.12.3. SSL 连接器引用
JBoss Web 连接器可能包括了下列 SSL 配置属性。提供的 CLI 命令是针对使用
default
配置集的受管域的。按照你的需要修改这个配置集名称(对于受管域),或者忽略命令行的 /profile=default
部分(对于独立服务器)。
属性 | 描述 | CLI 命令 |
---|---|---|
name |
SSL 连接器的显示名称。
| name 属性是只读的。
|
verify-client | verify-client 具有不同的值,这取决于是否使用 HTTP/HTTPS 连接器或者是否使用 APR 连接器。
HTTP/HTTPS 连接器
可能的值有设置为 Native APR 连接器
可能的值有 |
第一个命令示例使用了 HTTPS 连接器。
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-client,value=want)
第二个命令示例使用了 APR 连接器。
/profile=default/subsystem=web/connector=APR/ssl=configuration/:write-attribute(name=verify-client,value=require) |
verify-depth |
中间证书发行者在决定客户是否具有有效证书前检查的最多次数。默认值是
10 。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-depth,value=10) |
certificate-key-file |
保存服务器证书的密钥库文件的完整文件路径和名称。对于 JSSE 加密,这个证书文件将是唯一的,而 OpenSSL 则使用几个文件。默认值是运行 JBoss EAP 6 的用户的主目录下的
.keystore 。如果你的 keystoreType 没有使用文件,请将这个参数设置为空字符串。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-key-file,value=../domain/configuration/server.keystore) |
certificate-file |
如果你使用 OpenSSL 加密,请设置这个参数的值为包含服务器证书的文件的路径。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=server.crt) |
password |
用于信任库和密钥库的密码。在下面的例子里,请用自己的密码替换 PASSWORD。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=password,value=PASSWORD) |
protocol |
要使用的 SSL 协议的版本。支持的值取决于底层的 SSL 实现(JSSE 或 OpenSSL)。请参考 Java SSE 文档。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=ALL) |
cipher-suite |
允许的加密密码列表。对于 JSSE 语法,它必须是一个用逗号隔开的列表。对于 OpenSSL 语法,它必须是一个用分号隔开的列表。
默认值是:
HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5 。
这个例子只列出了两种可能的密码,但实际的例子可能使用更多密码。
重要
使用弱密码有重大的安全风险。对于 NIST 推荐的密码套件,请参考 http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915295。
对于可用的 OpenSSL 密码列表,请参考 https://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS。请注意下列密码是不被支持的:
@SECLEVEL 、SUITEB128 、SUITEB128ONLY 、SUITEB192 。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=cipher-suite, value="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA") |
key-alias |
用于密钥库里的服务器证书的别名。在下面的例子里,请用你的证书别名替换 KEY_ALIAS。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=key-alias,value=KEY_ALIAS) |
truststore-type |
信任库的类型。不同的密钥库包括
PKCS12 和 Java 的标准 JKS 。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=truststore-type,value=jks) |
keystore-type |
密钥库的类型那个。不同的密钥库类型包括
PKCS12 和 Java 的标准 JKS 。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=keystore-type,value=jks) |
ca-certificate-file |
包含 CA 证书的文件。对于 JSSE 是
truststoreFile ,并对密钥库使用相同密码。ca-certificate-file 文件被用来检验客户证书。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=ca.crt) |
ca-certificate-password |
用于
ca-certificate-file 的证书密码。在下面的例子里,请用自己的掩码密码替换其中的 MASKED_PASSWORD。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-certificate-password,value=MASKED_PASSWORD) |
ca-revocation-url |
包含撤销列表的文件或 URL。它指向
crlFile (JSSE )或 SSLCARevocationFile (SSL)。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-revocation-url,value=ca.crl) |
session-cache-size |
SSL 会话缓存的大小。这个属性仅用于 JSSE 连接器。默认值是
0 ,它表示缓存大小是无限的。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-cache-size,value=100) |
session-timeout |
在缓存的 SSLSession 过期前的秒数。这个属性仅适用于 JSSE 连接器。默认值为
86400 秒,也就是 24 小时。
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-timeout,value=43200) |