Red Hat Summit6.3. Data Grid サーバーのアイデンティティーの作成
サーバーアイデンティティーはセキュリティーレルムで定義され、Data Grid サーバーがアイデンティティーをクライアントに証明できるようにします。
6.3.1. SSL アイデンティティーの設定
SSL ID は、証明書または証明書のチェーンのいずれかが含まれるキーストアを使用します。
セキュリティーレルムに SSL アイデンティティーが含まれる場合、Data Grid サーバーはこれらのセキュリティーレルムを使用するエンドポイントの暗号化を自動的に有効にします。
手順
Data Grid サーバーのキーストアを作成します。
重要Data Grid サーバーは JKS、JCEKS、PKCS12、BKS、BCFKS、および UBER のキーストア形式をサポートします。
実稼働環境では、サーバー証明書は Root または Intermediate CA のいずれかの信頼される認証局によって署名される必要があります。
-
キーストアを
$ISPN_HOME/server/confディレクトリーに追加します。 -
server-identities定義を Data Grid サーバーのセキュリティーレルムに追加します。 - パスワードおよびエイリアスとともにキーストアの名前を指定します。
6.3.1.1. SSL Identity 設定
以下の例では、Data Grid サーバーの SSL アイデンティティーを設定します。
<security xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1">
<security-realms>
<security-realm name="default">
<server-identities> 1
<ssl> 2
<keystore path="server.p12" 3
relative-to="infinispan.server.config.path" 4
keystore-password="secret" 5
alias="server"/> 6
</ssl>
</server-identities>
</security-realm>
</security-realms>
</security>6.3.1.2. キーストアの自動生成
Data Grid サーバーを設定し、起動時にキーストアを自動的に生成します。
自動生成されたキーストア:
- 実稼働環境では使用しないでください。
- 必要に応じて生成されます。たとえば、クライアントから最初の接続を取得する際などに生成されます。
- Hot Rod クライアントで直接使用可能な証明書が含まれます。
手順
-
サーバー設定に
keystore要素のgenerate-self-signed-certificate-host属性を含めます。 - サーバー証明書のホスト名を値として指定します。
生成されたキーストアを持つ SSL サーバーアイデンティティー
<security xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1 https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1">
<security-realms>
<security-realm name="default">
<server-identities>
<ssl>
<keystore path="server.p12"
relative-to="infinispan.server.config.path"
keystore-password="secret"
alias="server"
generate-self-signed-certificate-host="localhost"/> 1
</ssl>
</server-identities>
</security-realm>
</security-realms>
</security>
- 1
localhostを使用してキーストアを生成します。
6.3.1.3. SSL プロトコルおよび暗号スイートの調整
特定のプロトコルと暗号を使用するように、Data Grid サーバーの SSL アイデンティティー経由で SSL エンジンを設定できます。
使用するプロトコル機能に正しい暗号を設定していることを確認する必要があります。たとえば、HTTP/2ALPN です。
手順
-
engine要素を Data Grid サーバーの SSL アイデンティティーに追加します。 -
enabled-protocolsおよびenabled-ciphersuites属性を使用して SSL エンジンを設定します。
SSL エンジンの設定
<security xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:infinispan:server:10.1
https://infinispan.org/schemas/infinispan-server-10.1.xsd"
xmlns="urn:infinispan:server:10.1">
<security-realms>
<security-realm name="default">
<server-identities>
<ssl>
<keystore path="server.p12"
relative-to="infinispan.server.config.path"
keystore-password="secret" alias="server"/>
<engine enabled-protocols="TLSv1.2 TLSv1.1" 1
enabled-ciphersuites="SSL_RSA_WITH_AES_128_GCM_SHA256 2
SSL_RSA_WITH_AES_128_CBC_SHA256"/>
</ssl>
</server-identities>
</security-realm>
</security-realms>
</security>
