2.5. SP および IDP を使用した SSL/TLS の設定
SSL/TLS の基本については、JBoss EAP セキュリティーアーキテクチャー を参照してください。ブラウザーベースのシングルサインオン環境に SSL/TLS サポートを追加すると、シングルサインオン以外の環境に追加されることはあまり変わりません。IDP と SP の両方に HTTPS コネクターを追加して、トラフィックのセキュリティーを保護することができます。
まだ作成されていない場合は、SSL/TLS サーバーアイデンティティーのセキュリティーレルムを作成する必要があります。SSL/TLS 証明書でも設定する必要があります。
2.5.1. レガシーセキュリティーレルムを使用したアプリケーション用の一方向 SSL/TLS の有効化
この例では、キーストアの identity.jks
がサーバー設定ディレクトリーにコピーされ、指定のプロパティーで設定されたことを仮定します。管理者は、example の独自の値を置き換えてください。
ここで使用する管理 CLI コマンドは、JBoss EAP スタンドアロンサーバーを実行していることを仮定しています。JBoss EAP 管理対象ドメインの管理 CLI を使用する場合の詳細は 管理 CLI ガイド を参照してください。
最初に HTTPS セキュリティーレルムを追加し、設定します。HTTPS セキュリティーレルムが設定されたら、セキュリティーレルムを参照する
undertow
サブシステムでhttps-listener
を設定します。batch /core-service=management/security-realm=HTTPSRealm:add /core-service=management/security-realm=HTTPSRealm/server-identity=ssl:add(keystore-path=identity.jks, keystore-relative-to=jboss.server.config.dir, keystore-password=password1, alias=appserver) /subsystem=undertow/server=default-server/https-listener=https:write-attribute(name=security-realm, value=HTTPSRealm) run-batch
警告Red Hat では、影響するすべてのパッケージで TLSv1.1 または TLSv1.2 を利用するために SSLv2、SSLv3、および TLSv1.0 を明示的に無効化することを推奨しています。
- JBoss EAP サーバーを再起動し、変更を反映します。