4.4. Fuse Console のセキュア化
EAP で Fuse Console をセキュアにするには、以下を行います。
必要なプロトコルとして HTTPS を設定する
hawtio.http.strictTransportSecurity
プロパティーを使用すると、Web ブラウザーでセキュア HTTPS プロトコルを使用して Fuse Console にアクセスするよう要求できます。このプロパティーでは、HTTP を使用して Fuse Console へのアクセスを試みる Web ブラウザーは、要求を自動的に変換して HTTPS を使用する必要があることが指定されます。公開鍵を使用して応答をセキュアにする
特定の暗号の公開鍵を Fuse Console に関連付けし、偽造された証明書を使用した中間者攻撃のリスクを軽減するよう Web ブラウザーに要求すると、
hawtio.http.publicKeyPins
プロパティーを使用して HTTPS プロトコルをセキュアにすることができます。
手順
$EAP_HOME/standalone/configuration/standalone*.xml
ファイルの system-properties セクションにある hawtio.http.strictTransportSecurity
および hawtio.http.publicKeyPins
プロパティーを、以下の例のように設定します。
<property name="hawtio.http.strictTransportSecurity" value="max-age=31536000; includeSubDomains; preload"/> <property name="hawtio.http.publicKeyPins" value="pin-sha256=cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs"; max-age=5184000; includeSubDomains"/>
関連情報
-
hawtio.http.strictTransportSecurity
プロパティーの構文の説明は、HTTP Strict Transport Security (HSTS) 応答ヘッダーの説明ページを参照してください。 -
hawtio.http.publicKeyPins
プロパティーの構文や、Base64 でエンコードされた公開鍵の抽出方法の説明は、HTTP Public Key Pinning 応答ヘッダーの説明ページを参照してください。