[精讚] [會員登入]
[無邊框]
  1. 精讚
  2. 外行中的外行首頁
  3. 程式學習歷程
  4. 教育體系身分認證服務
  5. 縣市IDP更換SSL憑證及修改servername+wildfly等設定
1646

縣市IDP更換SSL憑證及修改servername+wildfly等設定

縣市IDP更換SSL

分享此文連結 //n.sfs.tw/12052

分享連結 縣市IDP更換SSL憑證及修改servername+wildfly等設定@外行中的外行
(文章歡迎轉載,務必尊重版權註明連結來源)
2020-10-28 15:09:37 最後編修
2017-11-21 12:12:15 By jung
 

###2021/10/28 更新

由於private.key檔案可能被鎖住讀取權限

須在本機先用sudo chmod 644 private.key變更權限,才能用 ssh上傳

 

各縣市IDP預定修改為TWCA_Root_Intermidiate並更改ServerName為:xx.sso.edu.tw

步驟如下:

1. 先停止apache

systemctl stop httpd

2.進到設定ssl檔案位置的apache設定檔資料夾: 這裡以南投為例, centos7位於/etc/httpd/conf.d/wildfly.conf

要修改的地方有

(1)  <VirtualHost ntct.sso.edu.tw:443> & <VirtualHost ntct.sso.edu.tw:6666>

(2)

SSLCertificateFile /etc/pki/tls/certs/server.cer 
SSLCertificateKeyFile /etc/pki/tls/private/privatekey.key 
SSLCertificateChainFile /etc/pki/tls/certs/uca.cer 
SSLCACertificateFile /etc/pki/tls/certs/root.cer 

ServerName ntct.sso.edu.tw

3. 將SSL憑證上傳到上述資料夾

共通的憑證檔位於TWCA_Root_Intermidiate內有:

各縣市不同的憑證檔內有:

4. 更改/etc/httpd/conf/httpd.conf的ServerName

 

#####如果依照axer大使用wildfly-le-ssl.conf設定

需更改設定ssl加解密方式檔的位置: options-ssl-apache.conf

原本使用letsencrypt位於/etc/letsencrypt/options-ssl-apache.conf

#######

5. 更改本機hostname

hostnamectl set-hostname ntct.sso.edu.tw

需檢查http是否在ssl.conf或httpd.conf中Listen 443

如果在/etc/httpd/conf/httpd.conf 加入 mod.ssl Listen 443,則在 wildfly.conf 中,須將 Listen 443 註解,

反之,若在httpd.conf Listen 80,則wildfly.conf 需 Listen 443

### 到此http SSL部分更改完成,axer大建議重新開機

可到SSL checker網站檢查是否設定正確: https://www.sslshopper.com/ssl-checker.html

####

2018/11/08更新

如果要更換憑證,只需再把新的server.cer及private.key覆蓋掉舊的cer,key檔,再重新啟動httpd就完成了

####

6. 設定wildfly記憶體:

6-1 檢查目前允許開放的檔案數量及程序量

ps -aux | grep 'wildfly'

6-2 利用pid查詢目前狀況

cat /proc/wildfly-pid/limits

6-3 把可執行程序及可開啟檔案均設定為64000

檢查wildfly uid

cat /etc/passwd | grep 'wildfly'

建立使用者系統限制設定檔

vim /etc/security/limits.d/99-wildfly.conf

新增設定

wildfly soft nproc 64000
wildfly hard nproc 64000
wildfly soft nofile 64000
wildfly hard nofile 64000

重新啟動

systemctl restart wildfly

 

6-4 更改Wildfly 執行的記憶體

避免發生OutOfMemory 錯誤,GC 機制的空間(註:記憶體設定請依本機的記憶體大小進行,以下的例子是8G 的記憶體)

編輯vim /opt/wildfly-dir/bin/standalone.conf

修改 JAVA_OPTS="-Xms2048m -Xmx4096m -XX:MetaspaceSize=2048M -XX:MaxMetaspaceSize=8192m

MaxMetaspaceSize設為最大值(不超過系統ram上限)

Xmx加上MetaspaceSize數值不超過上述最大值

完成後重新啟動wildfly

systemctl restart wildfly

 

7. 重新編譯authserver程式

修改config.properties程式

issuer改為正確的xx.sso.edu.tw

編譯後重新上傳cncauthserver-0.1.war

到放置war檔資料夾先卸載舊的war程式

sh /opt/wildfly10/bin/jboss-cli.sh --connect controller=127.0.0.1 -c "undeploy cncauthserver-0.1.war"

再重新發布

sh /opt/wildfly10/bin/jboss-cli.sh --connect controller=127.0.0.1 -c "deploy cncauthserver-0.1.war"

測試是否可正確連結https://xx.sso.edu.tw

完成

 

在netbeans中修改git URL:

在專案-->右鍵-->Git-->Repository-->Open Configuration

需先檢查Netbeans是否安裝SSL套件

 

END

你可能感興趣的文章

縣市端新增syncdata spi功能 為了讓部裡主機可以透過OAUTH2流程,呼叫縣市同步SYNCDATA 的API

縣市端新增師生關係API程式 在縣市端建立可由教育部主機撈取縣市資料庫師生關係的API 程式

更新程式取消google recaptcha改用輸入驗證碼 update cnclibs to 0.0.8.6

[java]縣市IDP建置 使用NetBeans建置IDP程式

更新程式環境到wildfly18+openjdk11-phase2: update IDEA to jdk11 更新IDEA 編譯環境

更新程式環境到wildfly18+openjdk11-phase1: upgrade mongodb server 更新程式環境到wildfly18+openjdk11-phase1: upgrade mongodb server to version 3.6

隨機好文

回應 修正pom.xml,

更新java版本後一定要做的事情 how to deal with PKIX path building failed issue after upgrade java sdk version in IDE

測試及處理slow http attack on Apache 2.4.6 at CentOS-7 avoiding and testing slow http attack

installation and implementation of k8s clusters on CentOS8 k8s入坑

testing gitlab and jenkins CI/CD on docker-1 在docker架設gitlab, jenkins 測試CI/CD pipeline第一章

網站說明文檔

新手上路小秘訣

精讚首頁各區塊選文標準

使用火狐的閱讀模式

個人首頁各區塊選文標準

..更多說明文件..

關於精讚

寫文章也能賺錢?是的

客服留言版在這裡

更新記要/異動記錄等資訊

新版精讚設計緣由

部落格帳號的退場機制,我的部落格一直有效嗎?

..更多關於精讚..

加入精讚一起創作

這裡歡迎有興趣寫文的人加入,本站採收益共享,因此「業配文」、「廣告文」、「傳直銷保險相關文章」、「商品文」若因此有營收需貢獻20%給網站以利網站永續經營。若您想成為此BLOG的格主,歡迎您填寫以下表格申請,一起為優質好文努力。 加入精讚一起創作
 

快速連結

精讚部落客服留言版 有問題這裡留言