第13章 mTLS の信頼できる証明書の設定
クライアント証明書を適切に検証し、TLS 相互認証 (mTLS) などの特定の認証方法を有効にするために、サーバーが信頼する必要があるすべての証明書 (および証明書チェーン) を含むトラストストアを設定できます。相互 TLS や X.509 認証 などの証明書を使用してクライアントを適切に認証するために、このトラストストアに依存する機能が多数あります。
13.1. mTLS の有効化
mTLS を使用した認証は、デフォルトで無効になっています。Red Hat build of Keycloak がサーバーで、Red Hat build of Keycloak エンドポイントへのリクエストから証明書を検証する必要がある場合に mTLS 証明書処理を有効にするには、適切な証明書をトラストストアに配置し、次のコマンドを使用して mTLS を有効にします。
bin/kc.[sh|bat] start --https-client-auth=<none|request|required>
値に required を使用すると、必ず Red Hat build of Keycloak が証明書を要求し、要求内に証明書がない場合は失敗するように設定されます。値を request に設定すると、Red Hat build of Keycloak は証明書がない要求も受け入れ、証明書が存在する場合にのみ証明書の正確性を検証します。
mTLS 設定とトラストストアは、すべてのレルムで共有されます。異なるレルムに異なるトラストストアを設定することはできません。
管理インターフェイスのプロパティーは、mTLS 設定を含むメイン HTTP サーバーから継承されます。これは、mTLS が設定されている場合、管理インターフェイスでも有効になっていることを意味します。動作をオーバーライドするには、https-management-client-auth プロパティーを使用します。
