検索

4.7.2.3. 双方向 TLS の設定

download PDF

本セクションの手順では、broker-client 接続のセキュリティーを保護するために双方向トランスポート層セキュリティー (TLS) を設定する方法を説明します。

双方向 TLS では、ブローカーとクライアントの両方が証明書を表示します。ブローカーおよびクライアントはこれらの証明書を使用して相互認証と呼ばれることもあります。

前提条件

手順

  1. ブローカーキーストアの自己署名証明書を生成します。

    $ keytool -genkey -alias broker -keyalg RSA -keystore ~/broker.ks
  2. ブローカーキーストアから証明書をエクスポートし、クライアントと共有できるようにします。Base64 エンコードの .pem 形式の証明書をエクスポートします。以下に例を示します。

    $ keytool -export -alias broker -keystore ~/broker.ks -file ~/broker_cert.pem
  3. クライアントで、ブローカー証明書をインポートするクライアントトラストストアを作成します。

    $ keytool -import -alias broker -keystore ~/client.ts -file ~/broker_cert.pem
  4. クライアントで、クライアントキーストアの自己署名証明書を生成します。

    $ keytool -genkey -alias broker -keyalg RSA -keystore ~/client.ks
  5. クライアントで、クライアントキーストアから証明書をエクスポートし、ブローカーと共有できるようにします。Base64 エンコードの .pem 形式の証明書をエクスポートします。以下に例を示します。

    $ keytool -export -alias broker -keystore ~/client.ks -file ~/client_cert.pem
  6. クライアント証明書をインポートするブローカートラストストアを作成します。

    $ keytool -import -alias broker -keystore ~/broker.ts -file ~/client_cert.pem
  7. 管理者として OpenShift Container Platform にログインします。以下に例を示します。

    $ oc login -u system:admin
  8. ブローカーのデプロイメントが含まれるプロジェクトに切り替えます。以下に例を示します。

    $ oc project <my_openshift_project>
  9. TLS 認証情報を保存するためのシークレットを作成します。以下に例を示します。

    $ oc create secret generic my-tls-secret \
    --from-file=broker.ks=~/broker.ks \
    --from-file=client.ts=~/broker.ts \
    --from-literal=keyStorePassword=<password> \
    --from-literal=trustStorePassword=<password>
    注記

    シークレットを生成する際に、OpenShift ではキーストアとトラストストアの両方を指定する必要があります。トラストストアキーは、基本的に client.ts という名前です。ブローカーとクライアント間の双方向 TLS の場合は、クライアント証明書を保持するため、ブローカートラストストアを含むシークレットを生成する必要があります。そのため、前の手順では、client.ts キーに指定した値は実際にブローカーのトラストストアファイルになります。

  10. シークレットを Operator のインストール時に作成したサービスアカウントにリンクします。以下に例を示します。

    $ oc secrets link sa/amq-broker-operator secret/my-tls-secret
  11. セキュアなアクセプターまたはコネクターの sslSecret パラメーターにシークレット名を指定します。以下に例を示します。

    spec:
    ...
      acceptors:
      - name: my-acceptor
        protocols: amqp,openwire
        port: 5672
        sslEnabled: true
        sslSecret: my-tls-secret
        expose: true
        connectionsAllowed: 5
    ...
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.