4.6. 相互 TLS の有効化

mTLS を使用した認証は、デフォルトで無効になっています。Red Hat build of Keycloak がサーバーであり、Red Hat build of Keycloak エンドポイントに対する要求からの証明書を検証する必要がある場合に mTLS 証明書の処理を有効にするには、Red Hat build of Keycloak トラストストアに適切な証明書を配置し、次のコマンドを使用して mTLS を有効にします。

bin/kc.[sh|bat] start --https-client-auth=<none|request|required>

値に required を使用すると、必ず Red Hat build of Keycloak が証明書を要求し、要求内に証明書がない場合は失敗するように設定されます。値を request に設定すると、Red Hat build of Keycloak は証明書がない要求も受け入れ、証明書が存在する場合にのみ証明書の正確性を検証します。

これは、Red Hat build of Keycloak がサーバーとして機能する mTLS ユースケースの、基本的な証明書設定であることに注意してください。Red Hat build of Keycloak がクライアントとして機能する場合 (たとえば Red Hat build of Keycloak が mTLS によって保護されているブローカーアイデンティティープロバイダーのトークンエンドポイントからトークンを取得しようとする場合)、キーストア内の適切な証明書を送信要求に提供するように、HttpClient を設定する必要があります。このようなシナリオで mTLS を設定するには、送信 HTTP 要求の設定 を参照してください。