5.9. 管理インターフェースと CLI での双方向 SSL の使用

手順5.3

1. ストアを生成します。

   keytool -genkeypair -alias HOST1_alias -keyalg RSA -keysize 1024 -validity 365 -keystore host1.keystore.jks -dname "CA_HOST1" -keypass secret -storepass secret

   Copy to Clipboard Toggle word wrap

   keytool -genkeypair -alias HOST2_alias -keyalg RSA -keysize 1024 -validity 365 -keystore host2.keystore.jks -dname "CA_HOST2" -keypass secret -storepass secret

   Copy to Clipboard Toggle word wrap
2. 証明書をエクスポートします。

   keytool -exportcert  -keystore HOST1.keystore.jks -alias HOST1_alias -keypass secret -storepass secret -file HOST1.cer
   

   Copy to Clipboard Toggle word wrap

   keytool -exportcert  -keystore HOST2.keystore.jks -alias HOST2_alias -keypass secret -storepass secret -file HOST2.cer
   

   Copy to Clipboard Toggle word wrap
3. 逆のトラストストアに証明書をインポートします。

   keytool -importcert -keystore HOST1.truststore.jks -storepass secret -alias HOST2_alias -trustcacerts -file HOST2.cer
   

   Copy to Clipboard Toggle word wrap

   keytool -importcert -keystore HOST2.truststore.jks -storepass secret -alias HOST1_alias -trustcacerts -file HOST1.cer
   

   Copy to Clipboard Toggle word wrap
4. インストール（host.xml または standalone.xml）の設定で CertificateRealm を定義し、インターフェースを指定します。
   これは、設定ファイルを手動で編集するか（推奨されません）、または以下のコマンドを使用して実行できます。

   /core-service=management/security-realm=CertificateRealm:add()

   Copy to Clipboard Toggle word wrap

   /core-service=management/security-realm=CertificateRealm/server-identity=ssl:add(keystore-path=/path/to/HOST1.keystore.jks,keystore-password=secret, alias=HOST1_alias)

   Copy to Clipboard Toggle word wrap

   /core-service=management/security-realm=CertificateRealm/authentication=truststore:add(keystore-path=/path/to/HOST1.truststore.jks,keystore-password=secret)

   Copy to Clipboard Toggle word wrap
   重要
   提供されるコマンドはスタンドアロンモードにのみ適用されます。ドメインモードの場合は、各コマンドの前に /host=master を追加します。
5. native-interface の security-realm を新しい証明書レルムに変更します。

   /host=master/core-service=management/management-interface=native-interface:write-attribute(name=security-realm,value=CertificateRealm)

   Copy to Clipboard Toggle word wrap
6. EAP_HOME/bin/jboss-cli.xml を設定ファイルとして使用する CLI の SSL 設定を追加します。パスワード vault を使用してキーストアおよびトラストストアパスワードを保存するか（推奨）、プレーンテキストに保存します。
   • キーストアおよびトラストストアパスワードをパスワード vault に保存するには、以下を実行します。
     EAP_HOME/bin/jboss-cli.xml を編集し、SSL 設定を追加します（変数に適切な値を使用）。また、vault 設定を追加して、各値を vault のものに置き換えます。

     <ssl>
       <vault>
         <vault-option name="KEYSTORE_URL" value="path-to/vault/vault.keystore"/>
         <vault-option name="KEYSTORE_PASSWORD" value="MASK-5WNXs8oEbrs"/>
         <vault-option name="KEYSTORE_ALIAS" value="vault"/>
         <vault-option name="SALT" value="12345678"/>
         <vault-option name="ITERATION_COUNT" value="50"/>
         <vault-option name="ENC_FILE_DIR" value="path-to/jboss-eap/vault/"/>
       </vault>
       <alias>$HOST2alias</alias>
       <key-store>/path/to/HOST2.keystore.jks</key-store>
       <key-store-password>VAULT::VB::cli_pass::1</key-store-password>
       <key-password>VAULT::VB::cli_pass::1</key-password>  
       <trust-store>/path/to/HOST2.truststore.jks</trust-store>
       <trust-store-password>VAULT::VB::cli_pass::1</trust-store-password>
       <modify-trust-store>true</modify-trust-store>
     </ssl>
     

     Copy to Clipboard Toggle word wrap
   • キーストアおよびトラストストアパスワードをプレーンテキストに保存するには、以下を行います。
     EAP_HOME/bin/jboss-cli.xml を編集し、SSL 設定を追加します（変数に適切な値を使用します）。

     <ssl>
       <alias>$HOST2alias</alias>
       <key-store>/path/to/HOST2.keystore.jks</key-store>
       <key-store-password>secret</key-store-password>
       <trust-store>/path/to/HOST2.truststore.jks</trust-store>
       <trust-store-password>secret</trust-store-password>
       <modify-trust-store>true</modify-trust-store>
     </ssl>
     

     Copy to Clipboard Toggle word wrap