14.4 トランスポート層セキュリティの設定

グラフ・サーバー(PGX)は、デフォルトで、トランスポート層セキュリティ(TLS)を使用する暗号化された接続のみを許可します。TLSでは、サーバーがクライアントにサーバー証明書を提示する必要があり、クライアントはその証明書の発行者を信頼するように構成されている必要があります。

このリリースのGraph Server and Clientでは、RPMファイルのインストールによって、デフォルトで自己署名サーバー・キーストア・ファイルが生成されます。このserver_keystore.jksファイルには、サーバー証明書およびサーバー秘密キーが含まれ、サーバーがTLSを有効にするために/etc/oracle/graphに生成されます。生成されたキーストアのデフォルトのパスワードはchangeitであり、次のように/etc/systemd/system/pgx.serviceファイルで環境変数PGX_SERVER_KEYSTORE_PASSWORDを使用して構成されます。

[Service]
Environment="PGX_SERVER_KEYSTORE_PASSWORD=changeit"

このデフォルトのキーストア構成が開始するのに十分な場合および接続先がlocalhostのみである場合は、「自己署名キーストアを信頼するためのクライアントの構成」にスキップできます。

自己署名サーバー証明書を使用する場合は、「自己署名サーバー証明書の使用」を参照してください。ただし、サーバー構成フィールドserver_certおよびserver_private_keyは非推奨であり、今後のリリースでサポートされなくなることに注意してください。その後は、サーバー・キーストアを使用してサーバー証明書およびサーバー秘密キーを格納する必要があります。

• 自己署名サーバー・キーストアの使用
  この項では、/etc/oracle/graphに自己署名キーストアを生成し、このキーストアを使用するようにグラフ・サーバー(PGX)およびクライアントを構成するステップについて説明します。
• 自己署名サーバー証明書の使用
  この項では、/etc/oracle/graphに自己署名証明書を生成し、この証明書を使用するようにグラフ・サーバー(PGX)を構成するステップについて説明します。