2.3 SSL/TLSでのHelidonサーバーの実行
- GGSAディストリビューションを抽出します
- SSL証明書を管理するには、
osa-base/etc/osa-ssl/ssl.confファイルで次の変数を設定します:- NEED_SSL - この変数は、GGSA製品のSSLを有効にするフラグです。値: true/false
- OSA_SERVER_CRT_P12 - この変数には、所有しているP12サーバー証明書ファイルへのパスが格納されます。例 - /yourPath/server.p12
- OSA_SERVER_CRT_PWD - この変数には、証明書のパスフレーズ/キーが格納されます。これは、暗号化された形式で格納する必要があります。
証明書パスワードの暗号化形式を生成するには、次のコマンドを実行します:
cd osa-base/bin/ ./osa-secure-tool.sh <certificatePassword> - OSA_SERVER_CRT_GENERATED_BY - この変数は、証明書がデモまたはテスト目的でアプリケーションによって生成されるか、ユーザーによって生成されるかを格納します。アプリケーションのテストまたはデモの目的で自己署名証明書を生成する場合、userまたはappに設定できます。本番環境でアプリケーション生成の証明書を使用することはお薦めしません。
- OSA_SERVER_CRT_FAIL_ON_VALIDATIONS - このフラグを設定すると、指定された証明書で検証の問題が識別された場合、アプリケーションの起動が失敗します。falseの場合、検証が引き続き実行され、コンソールに問題が出力され、警告付きでアプリケーションの実行が続行されます。現在検証されているのは、証明書の次の項目です -
- 公開キーの検証
- 秘密キーの検証
- 公開秘密キーの一致の検証
- 証明書の有効期限チェック
- 弱いアルゴリズムの使用
- 自己署名付き証明書の使用
-
SSL接続用の変数を設定したら、通常どおりGGSAアプリケーションを実行する必要があります。
OSA_SERVER_CRT_P12が指定されておらず、NEED_SSLがtrueの場合、プログラムは、自己署名付き証明書を生成するかどうかをユーザーに尋ねます(本番環境では使用しないよう警告が表示されます)。
プロンプトへの応答が'y'の場合は、証明書パスフレーズを要求し、生成された証明書の詳細でconf.sslファイルを更新します。
