WildFly 9 使用 Let’s Encrypt的憑證

先寫結論，明明WildFly 8的文件有寫可以直接用pem檔，但是所有能動的組合，都是使用Java Key Store，所以，以下是如何轉檔跟在WildFly 9的設定檔啟用的相關記錄。

1. 把Let’s Encrypt的PEM檔轉換為PKCS12格式，在這他會要你輸入export key的密碼，輸入後請記住。

openssl pkcs12 -export -out cert.p12 -in /etc/letsencrypt/live/yoursite/cert.pem -inkey /etc/letsencrypt/live/yoursite/privkey.pem

1. 匯入PEM，在這他會要你輸入keystore的密碼以及剛剛的export key，keystore的密也請記住，等等設定檔要用。

keytool -v -importkeystore -srckeystore cert.p12 -srcstoretype PKCS12 -destkeystore server.keystore -deststoretype JKS

注意：匯入後雖然 keytool -list 看的到一筆 alias: mykey ，實際上它名字是1，若你的keystore只有一筆資料，可以在WildFly的設定檔裡不指定alias，指定了alias=”mykey”反而會找不到，不然就用以下指令變更一下alias。

keytool -changealias -keystore server.keystore -alias 1 -destalias mykey

以上轉檔完畢，可以拿來用在任何需要SSL/CA的JAVA應用。

在WildFly 9的設定檔裡在每個想用SSL的地方加上SSL參數，也就是這五行，為了整個網站都走HTTPS，我在ManagementRealm跟ApplicationRealm兩個security-realm都用了。
ManagementRealm

…

ApplicationRealm

…

再來把Management Interface也轉成HTTPS，在第三行把Socket-binding改成https

然後把Application也啟用HTTPS，相關設定在undertow的subsystem，我增加了第五行的https-listener

…

以上就把HTTPS啟用完畢。

WildFly 9服務預設只綁定127.0.0.1，若要啟用對外服務可以參考以下設定
注意：跟在WildFly9已經不支援，剩下
同時WildFly9也支援以下格式，可以一次bind多個interface，當然”0.0.0.0″的效果跟一樣。

逐一指定所有要監聽的網卡

直接監聽所有網卡
方法一

方法二