2.5. レガシーコアマネジメントの認証機構の SSL または TLS 設定
マスタードメインコントローラーとホストコントローラー間で相互に通信する際に Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を使用するようにマネージドドメインの JBoss EAP インスタンスを設定できます。
マネージドドメインの JBoss EAP インスタンス間で使用する SSL または TLS を設定する場合は、対話に応じて各インスタンスにクライアントまたはサーバーのロールを設定できます。これには、すべてのホストコントローラーとドメインコントローラーが含まれます。最適な結果を得るには、エンドポイント間で双方向の SSL または TLS を設定してください。
前提条件
必要なすべての証明書とキーストアを生成して設定しておく。管理インターフェイスで双方向 SSL/TLS を有効にするには、レガシーコアの管理認証での管理インターフェイスへの双方向 SSL/TLS 設定 を参照してください。
注記エンドポイント間で双方向 SSL または TLS を設定するには、マスタードメインコントローラーおよび各ホストコントローラーの証明書およびキーストアを生成し、設定する必要があります。
さらに、マスタードメインコントローラーの証明書を各ホストコントローラーのキーストアにインポートする必要があります。さらに、各ホストコントローラーの証明書をマスタードメインコントローラーの鍵ストアにインポートしてください。
手順
以下の例のように、マスタードメインコントローラーが SSL または TLS を使用するように設定します。すべての証明書とキーストアを設定したら、双方向 SSL/TLS を使用するようにセキュリティーレルムを設定する必要があります。これには、SSL/TLS を使用するようにセキュリティーレルムを設定します。設定されたセキュリティーレルムは、ホストコントローラーとマスタードメインコントローラー間の接続に使用する管理インターフェイスのセキュリティーを確保します。
注記以下のコマンドを、バッチモードまたはサーバー上で実行します。sslサーバーの ID を追加した後は、サーバーをリロードする必要があります。この手順の例では、バッチモードで実行しています。
batch /host=master/core-service=management/security-realm=CertificateRealm:add() /host=master/core-service=management/security-realm=CertificateRealm/server-identity=ssl:add(alias=domaincontroller,keystore-relative-to=jboss.domain.config.dir,keystore-path=domaincontroller.jks,keystore-password=secret) /host=master/core-service=management/security-realm=CertificateRealm/authentication=truststore:add(keystore-relative-to=jboss.domain.config.dir,keystore-path=domaincontroller.jks,keystore-password=secret) /host=master/core-service=management/security-realm=CertificateRealm/authentication=local:add(default-user=\$local) /host=master/core-service=management/security-realm=CertificateRealm/authentication=properties:add(relative-to=jboss.domain.config.dir,path=mgmt-users.properties) /host=master/core-service=management/management-interface=http-interface:write-attribute(name=security-realm,value=CertificateRealm) run-batch
すべてのホストコントローラーで SSL または TLS を使用するように設定します。
batch /host=instance1/core-service=management/security-realm=CertificateRealm:add() /host=instance1/core-service=management/security-realm=CertificateRealm/server-identity=ssl:add(alias=instance1,keystore-relative-to=jboss.domain.config.dir,keystore-path=instance1.jks,keystore-password=secret) /host=instance1/core-service=management/security-realm=CertificateRealm/authentication=truststore:add(keystore-relative-to=jboss.domain.config.dir,keystore-path=instance1.jks,keystore-password=secret) /host=instance1/core-service=management/security-realm=CertificateRealm/authentication=local:add(default-user="\$local") /host=instance1/core-service=management/security-realm=CertificateRealm/authentication=properties:add(relative-to=jboss.domain.config.dir,path=mgmt-users.properties) /host=instance1/core-service=management/management-interface=http-interface:write-attribute(name=security-realm,value=CertificateRealm) run-batch
マスタードメインコントローラーの接続に使用するセキュリティーレルムを更新します。ホストコントローラーの設定ファイルの更新は、サーバーが起動していない状態で行う必要があります。たとえば、
host.xml
やhost-slave.xml
などです。<domain-controller> <remote security-realm="CertificateRealm" username="slave-user"> <discovery-options> <static-discovery name="primary" protocol="${jboss.domain.master.protocol:remote}" host="${jboss.domain.master.address}" port="${jboss.domain.master.port:9990}"/> </discovery-options> </remote> </domain-controller>
関連情報
- マネージドドメイン操作モードの概念および一般的な設定の詳細は、JBoss EAP設定ガイド のドメイン管理 セクションを参照してください。
- 双方向 SSL または TLS を設定する手順は、サーバーセキュリティーの設定方法の レガシーコアの管理認証付き管理インターフェイス用の双方向 SSL/TLS の設定 を参照してください。