É possível, de acordo com esta entrada wiki, por Anil Saldhana, arquiteto de segurança líder JBoss para JBoss:
Eu não implementei isso pessoalmente, mas imagino que Anil conhece bem o assunto.
Eu configurei meu servidor de aplicativos jboss para usar o SSL. O extrato relevante da minha configuração está abaixo. Tudo está funcionando bem, mas algumas pessoas expressaram preocupação sobre o atributo keystorePass
estar em texto simples. Existe alguma maneira de ofuscar / criptografar esse valor?
Estou usando o JBoss 4.2.2.GA (no Red Hat Enterprise Edition, se isso faz alguma diferença)
<Connector port="8080"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="/somewhere/some.keystore"
keystorePass="somePassword"
keyAlias="tomcat"/>
Editar, para fugir da abordagem de segurança por obscuridade, uma alternativa para ofuscar isso seria não fornecê-lo a todos e ter o tomcat pronto para o p / w na inicialização. No entanto, tanto quanto eu sei isso não é suportado. Alguém pode confirmar ou negar isso?
É possível, de acordo com esta entrada wiki, por Anil Saldhana, arquiteto de segurança líder JBoss para JBoss:
Eu não implementei isso pessoalmente, mas imagino que Anil conhece bem o assunto.