15.3. Elytron サブシステムで SSL/TLS を使用するよう IIOP を設定
SSL/TLS/ を使用するよう iiop-openjdk
サブシステムを設定し、クライアントとサーバー間の通信をセキュア化することができます。elytron
サブシステムおよびレガシーの security
サブシステムは、iiop-openjdk
サブシステムや JBoss EAP 内の他のサブシステムに SSL/TLS を設定するために必要なコンポーネントを提供します。以下の手順にしたがって、SSL/TLS に elytron
サブシステムを使用するよう iiop-openjdk
サブシステムを設定します。
以下の管理 CLI コマンドを使用して、
iiop-openjdk
サブシステムの現在のレガシー SSL/TLS 設定を表示します。/subsystem=iiop-openjdk:read-attribute(name=security-domain) { "outcome" => "success", "result" => "iiopSSLSecurityDomain" }
iiop-openjdk
サブシステムは、SSL/TLS にレガシーのsecurity
サブシステムかelytron
サブシステムのいずれかを使用する必要があります。両方のサブシステムを同時に使用することはできません。上記のコマンドは、iiop-openjdk
サブシステムが SSL/TLS の処理にレガシーのセキュリティードメインを使用していることを示しています。SSL/TLS にelytron
サブシステムを使用するようiiop-openjdk
サブシステムを設定する前に、以下の参照を削除する必要があります。/subsystem=iiop-openjdk:undefine-attribute(name=security-realm)
iiop-openjdk
のsecurity-domain
属性が定義されていない場合は、手順を続行できません。server-ssl-context
を作成します。iiop-openjdk
サブシステムで SSL/TLS を使用するには、server-ssl-context
を定義する必要があります。JBoss EAP は、サーバーへの SSL/TLS 接続を確立するときに、server-ssl-context
によって提供される設定を使用します。server-ssl-context
の作成に関する詳細は、How to Configure Server Security のEnable One-way SSL/TLS for Applications using the Elytron Subsystemを参照してください。client-ssl-context
を作成します。iiop-openjdk
サブシステムで SSL/TLS を使用するには、client-ssl-context
を定義する必要があります。JBoss EAP は、クライアントへの SSL/TLS 接続を確立するときに、client-ssl-context
によって提供される設定を使用します。client-ssl-context
の作成に関する詳細は、How to Configure Server Security のUsing a client-ssl-contextを参照してください。client-ssl-context
およびserver-ssl-context
を使用するよう、iiop-openjdk
サブシステムを設定します。例:
client-ssl-context
およびserver-ssl-context
の設定batch /subsystem=iiop-openjdk:write-attribute(name=client-ssl-context,value=iiopClientSSC) /subsystem=iiop-openjdk:write-attribute(name=server-ssl-context,value=iiopServerSSC) run-batch reload
iiop-openjdk
サブシステムを接続先および接続元とする接続の設定以下の属性を調整すると、
iiop-openjdk
サブシステムを接続先および接続元とする接続を確立するときに SSL/TLS 接続を要求するかどうかを示すことができます。-
iiop-openjdk
サブシステムで SSL のサポートを有効にするには、support-ssl
をtrue
に設定します。デフォルトはfalse
です。 -
iiop-openjdk
サブシステムからの SSL/TLS 接続を要求するには、client-requires-ssl
をtrue
に設定します。デフォルトはfalse
です。 -
iiop-openjdk
サブシステムへの SSL/TLS 接続を要求するには、server-requires-ssl
をtrue
に設定します。デフォルトはfalse
です。これをtrue
に設定すると、非 SSL IIOP ソケットへの接続をブロックすることに注意してください。 -
socket-binding
を調整するには、ssl-socket-binding
を希望のバインディングに設定します。デフォルトはiiop-ssl
です。
例: IIOP を接続先および接続元とする SSL/TLS 接続の設定
/subsystem=iiop-openjdk:write-attribute(name=support-ssl,value=true) /subsystem=iiop-openjdk:write-attribute(name=client-requires-ssl,value=true) /subsystem=iiop-openjdk:write-attribute(name=server-requires-ssl,value=true) /subsystem=iiop-openjdk:write-attribute(name=ssl-socket-binding,value=iiop-ssl) reload
-