バージョン 10.7 用の Jetty 設定オプション

apmdevops106
この記事内の Jetty 設定に関する情報はバージョン 10.7 に対してのみ有効で、サービス パックに対しては有効ではありません。
SSL 用の Jetty 設定オプション
重要:
<EM_Home>/config
ディレクトリにあるデフォルトの Jetty 設定ファイル(
em-jetty-config.xml
)を使用して、SSL のコンポーネントの多くを変更することができます。 例:
  • HTTPS ポートをデフォルトの 8444 から変更するには、port 属性の値を変更します。
    Example: <Set name="port">8444</Set>
  • デフォルトでは、SSL リスナは
    /internal/server/keystore
    キーストア パスを使用するように設定されます。 これは
    /config
    ディレクトリを基準にした相対パスです。 このキーストアには、信頼されない自己署名証明書が入っています。 キーストアは、認識している認証局(CA)の証明書が含まれるキーストアと置き換えることができます。
  • デフォルトの keystorePassword は
    password
    です。
    em-jetty-config.xml
    および
    webview-jetty-config.xml
    内のクリア テキスト パスワードはデフォルトでは難読化されます。 難読化されたパスワードは、
    OBF:
    で始まります。
    OBF:
    を取り除くことで、プレーン テキスト パスワードになります。 SSL の設定の詳細については、https://wiki.eclipse.org/Jetty/Howto/Configure_SSL を参照してください。
  • デフォルトでは、SSL は自己署名証明書を受け入れるように設定されます。 SSL は、クライアントの URL 内のホスト名がデジタル証明書のホスト名に一致することを検証しません。 この設定は、スタンドアロン Enterprise Manager のみをテストするのに十分です。 この設定により、デフォルトのキーストアの信頼されていない証明書を使用して、SSL がデフォルトで機能します。 安全性の高い認証を必要とする場合は、信頼できる証明書を含むキーストアを作成します。
    Enterprise Manager は SSL を介した通信時にはクライアントにもなります。 Enterprise Manager には、Java トラストストア内の正しいホスト名を持つ有効な証明書または信頼された自己署名証明書が必要です。 有効な証明書を使用する必要があります。 テスト目的では、自己署名証明書を使用できますが、ホスト名およびドメインの証明書を生成する必要があります。 グローバル Java トラストストアに証明書を追加します。 クライアントとしての Enterprise Manager では、信頼できるサーバの検証にグローバル Java トラストストアが使用されます。
    実稼働環境では、承認された認証機関からの有効な証明書が必要です。
    その後、XML 内の以下の属性を設定し、デフォルトのキーストアを独自のキーストアに置き換えます。
    <Set name="validateCertificates">true</Set> <Set name="verifyHostnames">true</Set> <Set name="keystore"><SystemProperty name="introscope.config" default="./config" />/internal/server/keystore</Set> <Set name="password">password</Set>
  • 次のように、クライアント認証を要求するクライアント証明書を含むトラストストアを作成することもできます。
    <Set name="needClientAuth">true</Set> <Set name="truststore"><SystemProperty name="introscope.config" default="./config" />/internal/server/keystore</Set> <Set name="trustPassword">password</Set>
  • クライアント認証が必要な場合は、証明書を含むキーストアを使って、エージェントと Workstation を設定します。 Enterprise Manager Web サーバは、この証明書を信頼する必要があります。
    有効な暗号スイートを設定するには、
    cipherSuites
    属性を暗号スイートのリストに設定します。
    <Set name="cipherSuites"> <Array type="java.lang.String"> <Item>SSL_DH_anon_WITH_RC4_128_MD5</Item> </Array> </Set>
    SSL を使用するには、エージェントと Workstation の暗号スイートが有効で、Enterprise Manager と共通のものである必要があります。 以下のアクションに対して、有効な暗号スイートを制限することができます。
    • 弱い暗号スイートの脆弱性の防止
    • 匿名接続の許可
    • データの非暗号化
  • 承認されるプロトコルのリストをカスタマイズする必要がある場合は、以下の例に示されているように、
    em-jetty-config.xml
    および
    webview-jetty-config.xml
    ファイルで
    <Item>
    タグにプロトコルを定義します。
    <Set name="protocols">
    <Array type="java.lang.String">
    <Item>TLSv1.2</Item>
    <Item>TLSv1.1</Item>
    <Item>TLSv1</Item>
    </Array>
    </Set>
  • Enterprise Manager は
    maxThreads
    プロパティを使用して、Enterprise Manager が処理できる HTTPS エージェント接続の数を制限します。 十分なスレッドがない場合、Enterprise Manager は、接続されたエージェントやエージェントからのプロセス メトリックを認識しません。
  • HTTPS を使用する場合、Enterprise Manager は
    maxThreads
    プロパティで設定されたエージェント数のみを処理します。 許可されているエージェント接続の数は、
    apm-events-thresholds-config.xml
    ファイルの
    introscope.enterprisemanager.agent.connection.limit
    プロパティで設定されます。
    maxThreads
    の値が
    introscope.enterprisemanager.agent.connection.limit
    の値以上であることを確認します。 HTTPS を使用して接続するためのスレッドが不足している場合、一部のエージェントはクライアントに表示されないか、またはメトリックをレポートしません。
CEM コンソールのデフォルト要求ヘッダ サイズのリセット
CEM コンソールへのアクセス時に空白のページが表示されることがあるような場合は、要求ヘッダ サイズ制限のデフォルト値(8 KB)をリセットします。 ヘッダ サイズ制限のリセットは、Jetty 設定ファイルで行います。
以下の手順に従います。
  1. MOM 上の
    <EM_Home>/config
    ディレクトリに移動し、
    em-jetty-config.xml
    ファイルをテキスト エディタで開きます。
  2. 以下の行を含むセクションを見つけます。
    <New class="org.eclipse.jetty.server.HttpConfiguration">
  3. NoNPESocketConnector
    プロパティを以下の値に変更します。
    <Set name="RequestBufferSize">16384</Set>"
  4. ファイルを保存して閉じます。
  5. 各 MOM およびコレクタ上の
    IntroscopeEnterpriseManager.properties
    ファイルに移動します。
  6. このプロパティで、以下の行のコメントを外します。
    introscope.enterprisemanager.webserver.jetty.configurationFile=em-jetty-config.xml
  7. ファイルを保存して閉じます。
  8. Web サーバを再起動します。