15.3. 配置 IIOP 以通过 Elytron 子系统使用 SSL/TLS

使用以下管理 CLI 命令，在 iiop-openjdk 子系统中显示当前传统的 SSL/TLS 配置：

/subsystem=iiop-openjdk:read-attribute(name=security-domain)
{
    "outcome" => "success",
    "result" => "iiopSSLSecurityDomain"
}

iiop-openjdk 子系统必须使用传统 安全 子系统或 elytron 子系统 SSL/TLS。您不能同时使用这两者。以上命令显示 iiop-openjdk 子系统正在使用传统安全域来处理 SSL/TLS。在将 iiop-openjdk 子系统配置为使用 SSL/TLS 的 elytron 子系统之前，您需要删除此引用：

/subsystem=iiop-openjdk:undefine-attribute(name=security-realm)

如果未定义 iiop-openjdk 中的 security- domain 属性，您可以继续下一步。

创建 server-ssl-context。

要将 SSL/TLS 与 iiop-openjdk 子系统结合使用，您需要定义 server-ssl-context。JBoss EAP 将 SSL/TLS 连接作为服务器时，使用 server-ssl-context 提供的配置。您可以使用 Elytron Subsystem 了解如何 配置服务器安全 指南中的 Elytron Subsystem 在为应用启用单向 SSL/TLS 中创建 server- ssl-context。

创建 client-ssl-context。

要将 SSL/TLS 与 iiop-openjdk 子系统结合使用，您需要定义 client-ssl-context。JBoss EAP 在将 SSL/TLS 连接作为客户端时，使用 client-ssl-context 提供的配置。您可以在 如何配置服务器安全 指南 中的使用 client-ssl-context 中找到有关创建客户端-ssl-context 的更多详细信息。

配置 iiop-openjdk 子系统，以使用 client-ssl-context 和 server-ssl-context。

batch

/subsystem=iiop-openjdk:write-attribute(name=client-ssl-context,value=iiopClientSSC)

/subsystem=iiop-openjdk:write-attribute(name=server-ssl-context,value=iiopServerSSC)

run-batch

reload

从 iiop-openjdk 子系统配置与 和 的连接。

您可以通过调整以下属性来指示在连接到 iiop-openjdk 子系统时是否需要 SSL/TLS 连接：

/subsystem=iiop-openjdk:write-attribute(name=support-ssl,value=true)

/subsystem=iiop-openjdk:write-attribute(name=client-requires-ssl,value=true)

/subsystem=iiop-openjdk:write-attribute(name=server-requires-ssl,value=true)

/subsystem=iiop-openjdk:write-attribute(name=ssl-socket-binding,value=iiop-ssl)

reload