9.2.2. SSL/TLS クライアント認証の有効化

SSL/TLS 暗号化の他に、SSL/TLS を使用してクライアントから受信接続を認証することもできます。この方法では、クライアントが独自の X.509 証明書をルーターに提示する必要があります。ルーターを使用してクライアントのアイデンティティーを検証します。

前提条件

  • SSL/TLS 暗号化を設定する必要があります。

    詳細は、「SSL/TLS 暗号化の有効化」 を参照してください。

  • クライアントには、ルーターに対する認証に使用できる X.509 証明書が必要です。

手順

  1. /etc/qpid-dispatch/qdrouterd.conf 設定ファイルを開きます。

  2. SSL/TLS を使用してクライアントを認証するように、この接続の listener を設定します。

    この例では、クライアントからの受信接続を認証するために、normal リスナーに SSL/TLS 認証を追加します。クライアントは、独自の X.509 証明書を提示してルーターにだけ接続でき、ルーターを使用してクライアントのアイデンティティーを検証するために使用されます。 

    listener {
    host: 0.0.0.0
    port: 5672
    role: normal
    sslProfile: service-tls
    requireSsl: yes
    authenticatePeer: yes
    saslMechanisms: EXTERNAL
    ...
}
    authenticatePeer
    クライアントのアイデンティティーを認証するには yes を指定します。
    saslMechanisms
    X.509 クライアント証明書認証を有効にするために EXTERNAL を指定します。