デフォルトの証明書を使用している場合、SSL の有効化は比較的単純です。 このセクションに示す手順は、そのシナリオに基づいています。
しかし、一般に、各システムで同じ証明書 (秘密鍵) を使用することはお勧めできません。 1 つのシステムで秘密鍵が漏えいすると、インフラストラクチャー全体が 危険にさらされる可能性があります。物理的セキュリティーを強化することで、 漏えいの危険性は削減できます。
比較的安全なシステムでは、プロセスごとに証明書を使用します。 これは、Build Forge では以下を行うことを意味します。
以下のセクションで、SSL セキュリティーを強化する Build Forge システムのインターフェースを識別します。
ユーザーはクライアント・インターフェースを使用して Build Forge システムにアクセスします。
https://host/
host は Build Forge が稼働するホストです。
Apache へのセキュア・アクセス用に、443 以外のポートをセットアップする場合、
以下のポートも指定する必要があります。https://host:port/
Web クライアントは、Apache Tomcat サーバーで稼働中の認証サーブレットにリダイレクトされます。
認証サーブレットはログイン証明書を受諾し、ユーザーを認証します。 サーブレットは資格情報を暗号化し、ネットワーク上に平文で表示されないようにします。
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="SSL_TLS"
keystoreFile="C:¥BuildForge71.536¥keystore¥buildForgeKeyStore.p12"
keystorePass="password"
keystoreType="PKCS12"
truststoreFile="C:¥BuildForge71.536¥keystore¥buildForgeTrustStore.p12"
truststorePass="password"
truststoreType="PKCS12"/>
API クライアントは、サービス層コンポーネント、つまり Apache Tomcat アプリケーション・サーバー上で稼働しているアプリケーションを介して、Build Forge にアクセスします。 API クライアントには、有効な bfclient.conf ファイルが必要です。
サービス層コンポーネントは、インバウンド通信に SSL 構成を使用します。 これは、Build Forge コンソールの「デフォルト JSSE インバウンド SSL」が使用されます。
で定義します。 デフォルトではBuild Forge は、Web インターフェース・コンポーネント (Apache Web サーバーおよび PHP)、サービス層コンポーネント、およびエンジン・コンポーネントで構成されます。 Web インターフェース・コンポーネントおよびエンジン・コンポーネントは、 サービス層コンポーネントのクライアントです。 また、API プログラム・クライアントもサービス層コンポーネントのクライアントです。
Apache Tomcat アプリケーション・サーバーのポート 49150
サービス層コンポーネントは、インバウンド通信に SSL 構成を使用します。 これは、Build Forge コンソールの「デフォルト JSSE インバウンド SSL」が使用されます。
で定義します。 デフォルトではApache Tomcat アプリケーション・サーバーのポート 49150
Web インターフェース・コンポーネント (PHP 経由) およびエンジン・コンポーネントはいずれも、 サービス層コンポーネントに対してアウトバウンド通信専用の SSL 構成を使用します。 これは、Build Forge コンソールの で定義します。 デフォルトでは「デフォルト JSSE アウトバウンド SSL」が使用されます。SSL ハンドシェークを正常に実行できるように、クライアント・アウトバウンド構成用の SSL プロパティーと、サービス層インバウンド構成用の SSL プロパティーとの間に互換性が必要です。「タイプ」プロパティーと「ハンドシェーク・プロトコル」プロパティーが一致していなければなりません。
では、各 SSL 構成には、参照鍵ストア構成があります。
構成は名前で指定されます。これは
で定義します。 いくつかのデフォルト値が指定されています。エージェント通信への SSL の有効化を参照してください。