Discussion :

[tchize_]

Bonjour,

auriez vous une idée sur la manière dont vous paratageriez des clés entre les instances d'un cluster wildfly. Toutes les instances doivent accéder au même pool de clés publiques / privées et de Secrets. Il faut pouvoir occasionellement changer ces clés sans arrêter le serveur. Comment feriez vous? Pour le moment l'idée c'est d'avoir une copie du Keystore sur chaque machine au même endroit, dans le jndi du domaine référencer le chemin du Keystore, le mot de passe store et le mode de passe de chaque clé. Mais ça veux dire que

• Pour mettre à jour le clé, il faut recopier le Keystore sur chaque machine
• Pour changer le passe / ajouter des clés, il faut mettre à jour le jndi et donc redémarrer les instances (les changements dans naming requièrent un reload)
• La maintenance est pas top top

Je me dit que vu que le domain est capable de balancer les war/ear sur chaque noeud de manière centralisé, ça doit être faisable aussi pour d'autre ressource et d'encapsuler le Keystore sous forme d'une ressource qu'on aurait plus qu'à redéployer. Vous auriez une idée de comment vous feriez ça?

[ehsavoie]

En fait il te faudrait un DeploymentUnit pour ton serveur qui saurait le faire. Ca signifie qu'il te faut un sous-système.
https://docs.jboss.org/author/displa...tendingWildFly

[tchize_]

Ca a l'air quand même beaucoup de bordel pour une petite feature
Je cherche un truc simple qui pourrait être soit intégré directement à mon war, soit construit à la volée par un sysadmin.

[ehsavoie]

Hum j'avais mal compris, je pensais que c'était pour la configuration SSL de ton serveur.
Tu as une option pour uploader des fichiers (enfin des bytes) sur le serveur dans le content-repository mais après s'ils ne sont pas liés à un deployment ils seront supprimés par le ramasse miettes.
Sinon peut-être en utilisant cela https://developer.jboss.org/wiki/Des...dedDeployments lorsqu'il sera disponible (WildFly 11 si j'ai bien tout suivi). Mais le keystore devra être dans ton deployment et aucune garantie s'il est verrouillé par l'OS.

[tchize_]

Non justement, au niveau ssl y a déjà tout, même la balise jsse pour déverrouiler le keystore. Mais là j'ai besoin de clé qui servent à signer des JWT. Et j'ai pas envie de juste mettre les clé dans la DB :p