A.41. OpenSSL を使用するよう JBoss EAP を設定

JBoss EAP が OpenSSL を使用するよう設定する方法は複数あります。

  • elytron サブシステムを再設定し、OpenSSL の優先度を上げて、OpenSSL がデフォルトですべての場合で使用されるようにすることができます。

    注記

    OpenSSL は elytron サブシステムにインストールされていますが、デフォルトの TLS プロバイダーではありません。

    /subsystem=elytron:write-attribute(name=initial-providers, value=combined-providers)
    /subsystem=elytron:undefine-attribute(name=final-providers)
    
    reload
  • elytron サブシステムでは、OpenSSL プロバイダーは ssl-context リソースでも指定できます。これにより、デフォルトの優先度を使用せずに、OpenSSL プロトコルを状況に応じて選択できます。

    ssl-context リソースを作成し、Elytron ベースの SSL/TLS 設定で OpenSSL ライブラリーを使用するには、以下のコマンドを使用します。

    /subsystem=elytron/server-ssl-context=httpsSSC:add(key-manager=localhost-manager, trust-manager=ca-manager, provider-name=openssl)
    
    reload
  • レガシーの security サブシステムの SSL/TLS 設定で OpenSSL ライブラリーを使用するには、以下のコマンドを使用します。

    /core-service=management/security-realm=ApplicationRealm/server-identity=ssl:write-attribute(name=protocol,value=openssl.TLSv1.2)
    
    reload

    使用可能な OpenSSL プロトコルは次のとおりです。

    • openssl.TLS
    • openssl.TLSv1
    • openssl.TLSv1.1
    • openssl.TLSv1.2

JBoss EAP は自動的にシステム上の OpenSSL ライブラリーの検索を行い、それを使用します。JBoss EAP の起動中に org.wildfly.openssl.path プロパティーを使用すると、カスタム OpenSSL ライブラリーの場所を指定することもできます。JBoss Core Services によって提供される OpenSSL ライブラリーのバージョン 1.0.2 以上のみがサポートされます。

OpenSSL が適切にロードされると、JBoss EAP の起動中に以下と似たメッセージが server.log に出力されます。

15:37:59,814 INFO [org.wildfly.openssl.SSL] (MSC service thread 1-7) WFOPENSSL0002 OpenSSL Version OpenSSL 1.0.2k-fips 23 Mar 2017