手順11.39 JBoss Web Server が HTTPS を使用するよう設定

1. 新しい HTTPS コネクターを追加します。

   プロファイルを適切に変更し、以下の管理 CLI コマンドを実行します。これにより、HTTPS という名前のセキュアコネクターが新たに作成されます。これは https スキームと https ソケットバインディング (デフォルト値は 8443) を使用し、セキュアに設定されます。

   例11.36 管理 CLI コマンド

   /profile=default/subsystem=web/connector=HTTPS/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
   

2. 以下の管理 CLI コマンドを実行して、プロトコルを TLSv1 に設定します。

   例11.37 管理 CLI コマンド

   /profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=TLSv1)
   

3. 適切な暗号化スイートを選択します。

   暗号化スイートを構成するために使用される暗号プリミティブは複数あります。推奨される暗号プリミティブは最初の表に記載されています。2 つ目の表には、既存のソフトウェアとの互換性を維持するために使用できる暗号プリミティブが記載されていますが、推奨されるプリミティブよりも安全性が低くなります。

   警告

   Red Hat は、厳選された強力な暗号を cipher-suite に使用することを推奨します。弱い暗号を使用するとセキュリティーリスクが増大します。互換性の問題がある可能性があるため、特定の暗号化スイートを決定する前に JDK ベンダーのドキュメントを確認してください。

   表11.9 推奨される暗号プリミティブ

   2048 ビットキーと OAEP を使用する RSA

   CBC モードの AES-128

   SHA-256

   HMAC-SHA-256

   HMAC-SHA-1

   表11.10 その他の暗号プリミティブ

   1024 以上のキーサイズとレガシーパディングを使用する RSA

   AES-192

   AES-256

   3DES (トリプル DES で、2 つまたは 3 つの 56 ビットキー)

   RC4 (非推奨)

   SHA-1

   HMAC-MD5

   コネクターの SSL プロパティーに設定できるパラメーターの完全リストは、「SSL コネクターのリファレンス」を参照してください。

4. SSL 暗号化証明書およびキーを設定します。

   例の値を独自の値に置き換え、以下の CLI コマンドを実行して SSL 証明書を設定します。この例では、キーストアはサーバー設定ディレクトリー (管理対象ドメインでは EAP_HOME/domain/configuration/) へコピーされることを前提としています。

   例11.38 管理 CLI コマンド

   /profile=default/subsystem=web/connector=HTTPS/ssl=configuration:add(name=https,certificate-key-file="${jboss.server.config.dir}/keystore.jks",password=SECRET, key-alias=KEY_ALIAS, cipher-suite=CIPHERS)
   

5. アプリケーションをデプロイします。

   設定したプロファイルを使用するサーバーグループにアプリケーションをデプロイします。スタンドアロンサーバーを使用する場合、アプリケーションをサーバーにデプロイします。アプリケーションに対する HTTPS 要求は新しい SSL 暗号化接続を使用します。