4.7.2.3. 双方向 TLS の設定

本セクションの手順では、broker-client 接続のセキュリティーを保護するために双方向トランスポート層セキュリティー (TLS) を設定する方法を説明します。

双方向 TLS では、ブローカーとクライアントの両方が証明書を表示します。ブローカーおよびクライアントはこれらの証明書を使用して相互認証と呼ばれることもあります。

前提条件

手順

  1. ブローカーキーストアの自己署名証明書を生成します。

    $ keytool -genkey -alias broker -keyalg RSA -keystore ~/broker.ks
  2. ブローカーキーストアから証明書をエクスポートし、クライアントと共有できるようにします。Base64 エンコードの .pem 形式の証明書をエクスポートします。以下に例を示します。

    $ keytool -export -alias broker -keystore ~/broker.ks -file ~/broker_cert.pem
  3. クライアントで、ブローカー証明書をインポートするクライアントトラストストアを作成します。

    $ keytool -import -alias broker -keystore ~/client.ts -file ~/broker_cert.pem
  4. クライアントで、クライアントキーストアの自己署名証明書を生成します。

    $ keytool -genkey -alias broker -keyalg RSA -keystore ~/client.ks
  5. クライアントで、クライアントキーストアから証明書をエクスポートし、ブローカーと共有できるようにします。Base64 エンコードの .pem 形式の証明書をエクスポートします。以下に例を示します。

    $ keytool -export -alias broker -keystore ~/client.ks -file ~/client_cert.pem
  6. クライアント証明書をインポートするブローカートラストストアを作成します。

    $ keytool -import -alias broker -keystore ~/broker.ts -file ~/client_cert.pem
  7. 管理者として OpenShift Container Platform にログインします。以下に例を示します。

    $ oc login -u system:admin
  8. ブローカーのデプロイメントが含まれるプロジェクトに切り替えます。以下に例を示します。

    $ oc project <my_openshift_project>
  9. TLS 認証情報を保存するためのシークレットを作成します。以下に例を示します。

    $ oc create secret generic my-tls-secret \
    --from-file=broker.ks=~/broker.ks \
    --from-file=client.ts=~/broker.ts \
    --from-literal=keyStorePassword=<password> \
    --from-literal=trustStorePassword=<password>
    注記

    シークレットを生成する際に、OpenShift ではキーストアとトラストストアの両方を指定する必要があります。トラストストアキーは、基本的に client.ts という名前です。ブローカーとクライアント間の双方向 TLS の場合は、クライアント証明書を保持するため、ブローカートラストストアを含むシークレットを生成する必要があります。そのため、前の手順では、client.ts キーに指定した値は実際にブローカーのトラストストアファイルになります。

  10. シークレットを Operator のインストール時に作成したサービスアカウントにリンクします。以下に例を示します。

    $ oc secrets link sa/amq-broker-operator secret/my-tls-secret
  11. セキュアなアクセプターまたはコネクターの sslSecret パラメーターにシークレット名を指定します。以下に例を示します。

    spec:
    ...
      acceptors:
      - name: my-acceptor
        protocols: amqp,openwire
        port: 5672
        sslEnabled: true
        sslSecret: my-tls-secret
        expose: true
        connectionsAllowed: 5
    ...