15.3. Elytron サブシステムで SSL/TLS を使用するよう IIOP を設定

SSL/TLS/ を使用するよう iiop-openjdk サブシステムを設定し、クライアントとサーバー間の通信をセキュア化することができます。elytron サブシステムおよびレガシーの security サブシステムは、iiop-openjdk サブシステムや JBoss EAP 内の他のサブシステムに SSL/TLS を設定するために必要なコンポーネントを提供します。以下の手順にしたがって、SSL/TLS に elytron サブシステムを使用するよう iiop-openjdk サブシステムを設定します。

  1. 以下の管理 CLI コマンドを使用して、iiop-openjdk サブシステムの現在のレガシー SSL/TLS 設定を表示します。

    /subsystem=iiop-openjdk:read-attribute(name=security-domain)
    {
        "outcome" => "success",
        "result" => "iiopSSLSecurityDomain"
    }

    iiop-openjdk サブシステムは、SSL/TLS にレガシーの security サブシステムか elytron サブシステムのいずれかを使用する必要があります。両方のサブシステムを同時に使用することはできません。上記のコマンドは、 iiop-openjdk サブシステムが SSL/TLS の処理にレガシーのセキュリティードメインを使用していることを示しています。SSL/TLS に elytron サブシステムを使用するよう iiop-openjdk サブシステムを設定する前に、以下の参照を削除する必要があります。

    /subsystem=iiop-openjdk:undefine-attribute(name=security-realm)

    iiop-openjdksecurity-domain 属性が定義されていない場合は、手順を続行できません。

  2. server-ssl-context を作成します。

    iiop-openjdk サブシステムで SSL/TLS を使用するには、server-ssl-context を定義する必要があります。JBoss EAP は、サーバーへの SSL/TLS 接続を確立するときに、server-ssl-context によって提供される設定を使用します。server-ssl-context の作成に関する詳細は、How to Configure Server SecurityEnable One-way SSL/TLS for Applications using the Elytron Subsystem を参照してください。

  3. client-ssl-context を作成します。

    iiop-openjdk サブシステムで SSL/TLS を使用するには、client-ssl-context を定義する必要があります。JBoss EAP は、クライアントへの SSL/TLS 接続を確立するときに、client-ssl-context によって提供される設定を使用します。client-ssl-context の作成に関する詳細は、How to Configure Server SecurityUsing a client-ssl-context を参照してください。

  4. client-ssl-context および server-ssl-context を使用するよう、iiop-openjdk サブシステムを設定します。

    例: client-ssl-context および server-ssl-context の設定

    batch
    
    /subsystem=iiop-openjdk:write-attribute(name=client-ssl-context,value=iiopClientSSC)
    
    /subsystem=iiop-openjdk:write-attribute(name=server-ssl-context,value=iiopServerSSC)
    
    run-batch
    
    reload

  5. iiop-openjdk サブシステムを接続先および接続元とする接続の設定

    以下の属性を調整すると、iiop-openjdk サブシステムを接続先および接続元とする接続を確立するときに SSL/TLS 接続を要求するかどうかを示すことができます。

    • iiop-openjdk サブシステムで SSL のサポートを有効にするには、support-ssltrue に設定します。デフォルトは false です。
    • iiop-openjdk サブシステムからの SSL/TLS 接続を要求するには、client-requires-ssltrue に設定します。デフォルトは false です。
    • iiop-openjdk サブシステムへの SSL/TLS 接続を要求するには、server-requires-ssltrue に設定します。デフォルトは false です。これを true に設定すると、非 SSL IIOP ソケットへの接続をブロックすることに注意してください。
    • socket-binding を調整するには、ssl-socket-binding を希望のバインディングに設定します。デフォルトは iiop-ssl です。

    例: IIOP を接続先および接続元とする SSL/TLS 接続の設定

    /subsystem=iiop-openjdk:write-attribute(name=support-ssl,value=true)
    
    /subsystem=iiop-openjdk:write-attribute(name=client-requires-ssl,value=true)
    
    /subsystem=iiop-openjdk:write-attribute(name=server-requires-ssl,value=true)
    
    /subsystem=iiop-openjdk:write-attribute(name=ssl-socket-binding,value=iiop-ssl)
    
    reload