Ho due domini differentiwildfly più domini e certificati SSL
- example1.com
- example2.com
Ogni dominio ha il proprio certificato SSL.
Quello che sto cercando di fare ora, sta usando entrambi i domini per la stessa istanza WildFly, che supporta SSL.
La documentazione di WildFly afferma che posso fare riferimento a un singolo certificato in un keystore. Quindi, non posso semplicemente definire un singolo <security-realm>
con un keystore che contiene entrambi i certificati.
Così, ho definito due diversi <security-realm>
. Uno per ciascun dominio.
<security-realm name="RealmExample1">
<server-identities>
<ssl>
<keystore path="example1.jks" keystore-password="secret" />
</ssl>
</server-identities>
...
</security-realm>
<security-realm name="RealmExample2">
<server-identities>
<ssl>
<keystore path="example2.jks" keystore-password="secret2" />
</ssl>
</server-identities>
...
</security-realm>
Tuttavia, non è possibile aggiungere due domini di sicurezza a un singolo host.
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https-ext"/>
<https-listener name="default-ssl" security-realm="UndertowRealm" socket-binding="https"/>
<host name="default-host" alias="localhost">
<filter-ref name="central-basic-auth"/>
</host>
</server>
Ora, se io definisco un server per ogni dominio, non riesco a fare riferimento allo stesso http/https vincolante ascoltatore, dal momento che le porte sono bloccate.
L'unica soluzione che ho trovato finora è l'avere due indirizzi IP pubblici e la definizione di due interfacce e un binding socket http/https per ogni interfaccia. Quindi sono in grado di definire due server con un diverso alias e diversi binding socket.
A partire da ora, WildFly purtroppo non supporta SNI.
Esiste un'altra soluzione possibile?
Non ho familiarità con WildFly, tuttavia a meno che WildFly supporti [SNI] (https://en.wikipedia.org/wiki/Server_Name_Indication), è necessario disporre di due IP separati come già trovato. SNI è ciò che rende più siti HTTPS su un singolo indirizzo IP. Non sono stato in grado di trovare nulla affermando che WildFly 10 supporta SNI. Vorrei iniziare scoprendo se WildFly supporta SNI, quindi trovando la documentazione appropriata se lo fa. – vcsjones
Grazie per la risposta. WildFly 10 non supporta SNI fuori dalla scatola. C'è un biglietto Jira che richiede la funzione però: https://issues.jboss.org/browse/XNIO-227 – kevcodez
Questa è praticamente la tua risposta allora. Senza SNI, hai bisogno di più indirizzi IP. Questa è una limitazione di TLS, non di WildFly.Senza SNI, TLS non è in grado di dire a WildFly "quale" host è stato risolto con quell'indirizzo IP. – vcsjones