Hướng dẫn chuyển đổi chứng thư số từ F5 BIG-IP sang JBoss

Ngày đăng: 2015-09-30 15:47:20 | Cập nhật: 2015-09-30 15:48:24

Một khách hàng của chúng tôi có nhu cầu backup chứng thư số đang được cài đặt trên F5 BIG-IP và import vào một máy chủ dự phòng chạy JBoss trên nền tảng Linux. Nếu bạn cũng có nhu cầu như trên, xin vui lòng thực hiện theo các bước sau đây:

Bước 1: Trích xuất chứng thư số, private key và Intermediate CA (CABundle) từ F5 BIG-IP

Bạn thực hiện theo hướng dẫn tại địa chỉ sau: Hướng dẫn export chứng thư số và private key từ F5 BIG-IP.

Sau khi trích xuất thành công, bạn sẽ có 3 file sau đây: private.key, certificate.crt, cabundle.crt.

 

Bước 2: Chuyển đổi chứng thư từ X.509 sang Java Keystore (PKCS7)

Sau đó bạn cần thực hiện việc chuyển đổi từ 3 file trên (chuẩn X.509) sang Java Keystore (chuẩn PKCS7) theo hướng dẫn tại địa chỉ sau: Hướng dẫn chuyển đổi chứng thư số từ X.509 sang Java Keystore (PKCS7).

Sau khi hoàn tất quá trình chuyển đổi này, bạn sẽ có một file Java Keystore có tên gọi server.jks kèm theo mật khẩu của Keystore.

 

Bước 3: Cấu hình SSL cho JBoss

1. Tải file server.jks lên máy chủ JBoss và đặt tại địa chỉ /usr/local/ssl/keystore.

2. Chuyển đến thư mục JBoss. Tìm tập tin server.xml mà JBoss đang sử dụng và mở ra để chỉnh sửa.

3. Cập nhật lại đường dẫn trong đoạn sau đây:

<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="tomcat" keystoreFile="/usr/local/ssl/keystore/server.jks" keystorePass="your_keystore_password" />

Lưu ý sửa port 8443 thành port 443

4. Mở port 443 trên Firewall (Nếu bạn dùng software firewall như iptables chẳng hạn thì có thể tìm thấy file config tại: /etc/sysconfig/iptables)

5. Khởi động lại JBoss.