第4章 TLS の設定
Transport Layer Security (略称: TLS) は、保護されたチャネル上でデータを交換するために重要です。実稼働環境では、Red Hat build of Keycloak が他のアプリケーションと交換する内容の中核に機密データが含まれるため、HTTP 経由で Red Hat build of Keycloak エンドポイントを公開しないでください。この章では、HTTPS/TLS を使用するように Red Hat build of Keycloak を設定する方法を説明します。
4.1. Red Hat build of Keycloak で TLS を設定する
Red Hat build of Keycloak は、PEM 形式のファイルを使用するか、Java Keystore から、必要な証明書インフラストラクチャーをロードするように設定できます。両方の手段が設定されている場合、PEM ファイルが Java Keystore よりも優先されます。
4.1.1. PEM 形式の証明書を指定する
PEM 形式の証明書ファイルと秘密鍵ファイルのペアを使用する場合は、次のコマンドを実行して、それらを使用するように Red Hat build of Keycloak を設定します。
bin/kc.[sh|bat] start --https-certificate-file=/path/to/certfile.pem --https-certificate-key-file=/path/to/keyfile.pem
Red Hat build of Keycloak は、メモリー内のこれらのファイルからキーストアを作成し、以降はこのキーストアを使用します。
4.1.2. Java Keystore を指定する
キーストアファイルが明示的に設定されておらず、http-enabled が false に設定されている場合、Red Hat build of Keycloak は conf/server.keystore ファイルを探します。
代わりに、次のコマンドを実行して既存のキーストアを使用することもできます。
bin/kc.[sh|bat] start --https-key-store-file=/path/to/existing-keystore-file
4.1.2.1. Keystore のパスワードを設定する
https-key-store-password オプションを使用して、キーストアにセキュアなパスワードを設定できます。
bin/kc.[sh|bat] start --https-key-store-password=<value>
パスワードが設定されていない場合は、デフォルトのパスワードである password が使用されます。
