1.4. 一方向と双方向 SSL/TLS をアプリケーションに設定

1.4.1. アプリケーション用の自己署名証明書の自動作成

レガシーセキュリティーレルムを使用している場合は、JBoss EAP では開発の目的で自己署名証明書が自動的に生成されます。

例: 自己署名証明書の作成を示すサーバ−ログ

15:26:09,031 WARN  [org.jboss.as.domain.management.security] (MSC service thread 1-7) WFLYDM0111: Keystore /path/to/jboss/standalone/configuration/application.keystore not found, it will be auto generated on first use with a self signed certificate for host localhost
...
15:26:10,076 WARN  [org.jboss.as.domain.management.security] (MSC service thread 1-2) WFLYDM0113: Generated self signed certificate at /path/to/jboss/configuration/application.keystore. Please note that self signed certificates are not secure, and should only be used for testing purposes. Do not use this self signed certificate in production.
SHA-1 fingerprint of the generated key is 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff:00:11:22:33
SHA-256 fingerprint of the generated key is 00:11:22:33:44:55:66:77:88:99:00:aa:bb:cc:dd:ee:ff:00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee
...

この証明書はテスト目的で作成され、アプリケーションが使用する HTTPS インターフェースに割り当てられます。ファイルが HTTPS インターフェースの初回アクセス時に存在しない場合は、証明書を含むキーストアが生成されます。

例: 自己署名証明書を使用したデフォルトの ApplicationRealm

<security-realm name="ApplicationRealm">
  <server-identities>
    <ssl>
      <keystore path="application.keystore" relative-to="jboss.server.config.dir" keystore-password="password" alias="server" key-password="password" generate-self-signed-certificate-host="localhost"/>
    </ssl>
  </server-identities>
  ...
</security-realm>

例: HTTPS インターフェースのデフォルト設定

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
    ...
    <server name="default-server">
        ...
        <https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true"/>
        <host name="default-host" alias="localhost">
        ...

注記

自己署名証明書の作成を無効にする場合は、サーバーキーストア設定から generate-self-signed-certificate-host="localhost" を削除する必要があります。generate-self-signed-certificate-host 属性は、自己署名証明書を生成するホスト名を保持します。

警告

この自己署名証明書はテスト目的のみを目的とし、実稼働環境での使用を目的としていません。Elytron を使用したアプリケーションに SSL/TLS を設定する方法は、「Elytron サブシステムを使用してアプリケーションに対して一方向 SSL/TLS を有効化する 」および「Elytron サブシステムを使用してアプリケーションに対して双方向 SSL/TLS を有効化する 」セクションを参照してください。レガシーのセキュリティーを使用したアプリケーション向けに SSL/TLS を設定する方法は、「レガシーセキュリティレルムを使用してアプリケーションに対して一方向 SSL/TLS を有効化する」および「レガシーセキュリティレルムを使用してアプリケーションに対して双方向 SSL/TLS を有効化する」セクションを参照してください。