SSL または TLS の設定

必要なセキュリティのレベルに応じて、TLS の設定を変更します。 CA APM Command Center では TLS 1.2 のみがサポートされています。 TLS および SSL の以前のバージョンはサポートされていません。 デフォルトでは、Command Center は、HTTP および HTTPS の両方のプロトコルを有効化します。 両方のプロトコルが有効な場合、ブラウザは HTTP の URL を自動的に HTTPS へリダイレクトします。 ブラウザは、その後の通信に HTTP を使用しません。
apmdevops106
必要なセキュリティのレベルに応じて、TLS の設定を変更します。 CA APM Command Center では TLS 1.2 のみがサポートされています。 TLS および SSL の以前のバージョンはサポートされていません。 デフォルトでは、Command Center は、HTTP および HTTPS の両方のプロトコルを有効化します。 両方のプロトコルが有効な場合、ブラウザは HTTP の URL を自動的に HTTPS へリダイレクトします。 ブラウザは、その後の通信に HTTP を使用しません。
キーストア ファイルが見つからない場合、構成サーバは、新しい一意の自己署名証明書でキーストアを生成し、
APMCommandCenterServer\config\security
フォルダに保存します。
セキュリティを強化するには、構成サーバで生成されたキーストアを、信頼できる認証局によって署名されたキーストアに置き換えます。 自己署名証明書は証明機関によって信頼されていません。
自己署名証明書は信頼されていないため、ブラウザは、Command Center にアクセスするときにセキュリティ証明書の警告を表示します。 この警告を防ぐには、以下のいずれかのオプションを選択します。
  • 信頼できる認証局によって署名された独自の証明書で、自己署名証明書を置き換えます
  • (Windows のみ)ローカルの証明書ストアに自己署名証明書をインポートします
  • Command Center で HTTP プロトコルを使用するように設定します(非推奨)
3
キーストアのデフォルト設定
構成サーバは、
APMCommandCenterServer\config\apmccsrv.properties
ファイル内の
javax.net.ssl.keyStore
javax.net.ssl.keyStorePassword
、および
javax.net.ssl.alias
プロパティの値に基づいてキー ストアを生成します。 デフォルトでは、1 つのキーがある場合、そのキーが使用されます。 キーストアに複数のキーがある場合は、エイリアスを通じて使用するキーを指定する必要があります。 ユーザの利便性のために、
dafault.truststore
server.crt
、および
server.pem
証明書ファイルが作成されます。
server.crt
および
server.pem
ファイルを使用して、ブラウザで信頼できる接続の使用を有効にします。 ActiveMQ 接続が HTTPS プロトコルで設定されている場合、
default.truststore
を使用して ACC コントローラ上にトラストストアをセットアップします。
デフォルト値を使用するか、または社内のセキュリティ ガイドラインに従って値を変更してください。
default.truststore のデフォルトのパスワード:
changeit
自己署名証明書による新しいキーストアの生成
自己署名証明書を使用して新しい SSL キーストアを生成します。 このプロセスには、自己署名を使用した秘密鍵、公開鍵、およびサブジェクト識別(DNS 名など)の取得が含まれます。 この手順は、古い証明書が期限切れになったときや、
hostname
または DNS ドメインが変更されたときに役立ちます。
以下の手順に従います。
  1. APMCommandCenterServer\config\security
    フォルダに移動します。
  2. 以下の既存のキー ファイルを削除します。
    • default.keystore
    • default.truststore
    • server.crt
    • server.pem
  3. 構成サーバを再起動します。
    新しいキーストアが生成されます。
    Command Center にログインすると、ブラウザが新しい自己署名証明書を信頼しないという警告が表示されます。
Windows での自己署名証明書のインポート
ブラウザにセキュリティ証明書の警告が表示されないように自己署名証明書をインポートします。
以下の手順に従います。
  1. 構成サーバが自動的に生成する
    APMCommandCenter/config/security/server.crt
    証明書をクライアント マシンにコピーします。
  2. (オプション) Windows クライアント マシンでは、Internet Explorer で Command Center の UI を開きます。
    • 証明書を保存するには、アドレス バーの証明書の警告を右クリックします。
  3. 構成サーバが自動的に生成する
    server.crt
    ファイルをダブルクリックします。
  4. ダイアログ ボックスが表示されたら、[
    証明書のインストール
    ]をクリックします。
  5. (オプション)次のダイアログ ボックスで、ストアの場所として
    [ローカル マシン]
    を選択します。
  6. 次のダイアログ ボックスで、
    [証明書をすべて次のストアに配置する]
    を選択し、
    信頼されたルート証明機関
    ストアを参照します。
認証局によって信頼された証明書のセットアップ
新しいキーストアを手動で生成するには、Java Keytool および OpenSSL ユーティリティを参照し、構成サーバを新しいキーストアにポイントします。 キーストアと証明書のパスワードは同一である必要があります。 セキュリティを最大限に強化するには、構成サーバで生成されたキーストアを、信頼できる認証局によって署名されたキーストアに置き換えます。 ActiveMQ 通信の詳細については、「ActiveMQ の安全な通信の有効化」を参照してください。
以下の手順は、認証局によって異なります。
以下の手順に従います。
  1. キーストア ペア(RSA 公開鍵および秘密鍵)を Java Keystore (JKS)ファイルに生成します。
    例:
    keytool -genkeypair -alias server -dname cn=serverhostname.example.com -ext "san=dns:serverhostname.example.com" -validity 3650 -keyalg RSA -keysize 2048 -keystore server.jks -keypass changeit -storepass changeit
  2. 手順 1 の出力を使用して、証明書署名要求を作成します。
    例:
    RFC 1421 セキュリティ証明書署名要求を含むファイル
    server.csr
    を作成します。
    keytool -certreq -keystore server.jks -storepass changeit -alias server -file server.csr -ext "san=dns:serverhostname.example.com"
  3. 任意の認証局に証明書署名要求を送信します。
  4. 検証後、認証局は公開鍵が含まれる署名証明書を送信します。
    この証明書には、証明書とその認証局のルート証明書との間の単一の署名付きチェーン リンクまたは複数のリンク(中間の認証局による)を含めることができます。
  5. 認証局のルート証明書をキーストアにインポートします。 次に、サーバの署名付き証明書をインポートしてチェーンを完成させます。
    例:
    以下のファイル
    sign.crt
    を、証明書署名要求(手順 2 の例では
    server.csr
    )に対する応答として認証局から受信しました。 認証局のルート証明書を含むファイル
    ca.crt
    が必要です。 両方のファイルは、
    X509 PEM
    または
    DER
    形式です。
    keytool -importcert -trustcacerts -alias ca -file ca.crt -keystore server.jks -storepass changeit -noprompt
    keytool -importcert -v -alias server -keystore server.jks -keypass changeit -storepass changeit -file sign.crt
  6. パブリックに信頼されていない認証局を使用している場合は、その認証局の証明書で TrustStore を作成します。
    例:
    この例では、認証局はパブリックに信頼されていません。 したがって、この認証局は、デフォルト Java トラストストアにありません。 たとえば、この認証局は、非公開の会社規模の認証局です。
    keytool -importcert -trustcacerts -noprompt -alias ca -keystore truststore.jks -keypass changeit -storepass changeit -file ca.crt
  7. パブリックに信頼されていない認証局を使用する場合、そのルート証明書をブラウザにインポートして信頼関係をセットアップします。
  8. 新しいファイルを指し示すように、
    APMCommandCenterServer/config/apmccsrv.properties
    ファイル内の値を設定します。
    例:
    (Linux および Windows の両方で、ディレクトリの区切り文字としてスラッシュを使用)
    javax.net.ssl.keyStore=c:/APMCommandCenterServer/config/security/server.jks
    javax.net.ssl.keyStorePassword=changeit
  9. Command Center 構成サーバを起動します。
  10. ブラウザが警告を表示せずに証明書にアクセスできることを確認します。
  11. パブリックに信頼されていない認証局を信頼するようにコントローラを設定します。 この手順は、以下の 2 つの条件下で適用されます。
    • コントローラは、ActiveMQ 接続で HTTPS を使用します。
    • デフォルトの Java トラストストアは認証局を信頼していません。
    1. トラストストアを作成します。
      例:
      認証局の証明書に従ってトラストストアを作成します。
      keytool -importcert -trustcacerts -noprompt -alias ca -keystore truststore.jks -keypass changeit -storepass changeit -file ca.crt
    2. コントローラ構成ファイル
      APMCommandCenterController\config\apmccctrl.properties
      でトラストストアの場所およびパスワードを設定します。
      例:
      (Linux および Windows の両方で、ディレクトリの区切り文字としてスラッシュを使用)
      configurationServer.trustStore=c:/path/to/truststore.jks
      configurationServer.trustStorePassword=changeit
  12. コントローラを再起動します。
デフォルトの HTTP および HTTPS の設定
デフォルトでは、Command Center は、HTTP および HTTPS の両方のプロトコルを有効化します。 両方のプロトコルが有効な場合、ブラウザは HTTP の URL を自動的に HTTPS へリダイレクトします。 ブラウザは、その後の通信に HTTP を使用しません。 ブラウザのセキュリティを強化するには、HTTP を完全に無効にします。
HTTPS 応答には HTTPS Strict-Transport-Security
(HSTS)ヘッダが含まれており、1 年間の有効期限があります。 信頼された証明書で接続すると、ブラウザは HSTS ヘッダを記憶しています。 ブラウザが HSTS ヘッダを受け入れると、後続のすべての要求で HTTP URL が HTTPS へ自動的にリダイレクトされます。 HSTS ヘッダは、認証局の証明書を持つ HTTPS URL が HTTPS 自己署名証明書またはプレーン HTTP に切り替わるのを防ぎます。
自己署名証明書で接続すると、ブラウザはこのタイプの証明書を信頼せず、警告を表示します。 ブラウザにアクセスしたときにセキュリティ証明書の警告が表示されないようにするには、HTTP に切り替えて HTTPS を無効化します。
この操作によりセキュリティが低下するため、HTTPS を無効にすることは推奨しません。
HTTP への切り替え
1.2 より前の TLS バージョンのみをサポートするツールと統合する必要があるかも知れません。あるいは証明書の設定に問題が生じることがあります。 これらのツールを TLS 1.2 をサポートしているバージョンにアップグレードして、証明書を正しく設定することをお勧めします。 詳細については、「認証機関が信頼する証明書を設定する」を参照してください。
HTTPS を使用することがベスト プラクティスであり、また推奨されます。 HTTP に切り替えることによって、セキュアな接続を無効にすることはお勧めできません。
要件に応じて HTTP に切り替えます。
以下の手順に従います。
  1. apmccsrv.properties
    ファイルに移動します。
  2. webserver.https.enable
    プロパティを
    false
    に設定します。
  3. 構成サーバを再起動します。
  4. Web ブラウザのキャッシュをクリアします。
  5. デフォルトの HTTP ポートを使用して CA APM Command Center に接続します。
    デフォルト:
    8088
HTTP ポートの無効化
社内のセキュリティ ガイドラインで要求されている場合は、HTTP の HTTPS へのリダイレクトを完全に無効にします。 HTTP ポートを無効にすると、HTTP で URL にアクセスしようとするユーザはブラウザでエラー メッセージを受け取ります。 ユーザは、HTTPS URL を直接使用する必要があります。
デフォルトの HTTPS ポート:
8443
以下の手順に従います。
  1. APMCommandCenterServer\config\apmccsrv.properties
    ファイルに移動します。
  2. 以下のプロパティ
    webserver.http.enable
    を探します。
  3. このプロパティを
    false
    に設定します。
    デフォルト:
    true
  4. APM Command Center を再起動します。
HTTP ポートが無効になりました。