HTTPS 接続用に TLS 1.2 を有効にする

トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
nfa1000
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
前提条件
TLS を有効にする前に、必要な証明書ファイルを作成します。
以下の手順に従います。
これらの手順を正しく実行しないと、RDP 接続が失われることがあります。
  1. NFA をインストールしたシステムから、gpedit.msc を実行します。
  2. Computer Configuration、Administrative Templates、Windows Components、Remote Desktop Services、Remote Desktop Session Host、Security に移動します。
  3. [Require use of specific security layer for remote (RDP) connections (リモート(RDP)接続用に特定のセキュリティ レイヤの使用を必要とする)]
    をダブルクリックします。
  4. [有効]
    をクリックします。
  5. [セキュリティ レイヤ]ドロップダウン リストから、
    [Negotiate (ネゴシエート)]
    を選択します。
  6. [OK]
    をクリックします。
  7. レジストリをバックアップし、TLS 1.0 および TLS 1.1 用に以下のレジストリを作成します。
    1. キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
      値: Enabled
      値の種類: REG_DWORD
      値のデータ: 0
    2. キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
      値: Enabled
      値の種類: REG_DWORD
      値のデータ: 0
  8. install_path\Portal\SSO\etc
    に移動します。
  9. jetty-ssl-context.xml
    ファイルを編集し、タグ
    <Set name="ExcludeCipherSuites">
    の後に以下の行を追加します。
    <Set>
    .
    .
    <Array type="String">
    <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
    <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
    <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
    <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
    <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
    <Item>TLS_RSA_WITH_RC4_128_MD5</Item>
    <Item>TLS_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
    <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
    </Array>
    </Set>
    <!--<Get name="sslContextFactory">-->
    <Set name="excludeProtocols">
    <Array type="java.lang.String">
    <Item>SSL</Item>
    <Item>SSLv2</Item>
    <Item>SSLv2Hello</Item>
    <Item>SSLv3</Item>
    <Item>TLSv1</Item>
    <Item>TLSv1.1</Item>
    </Array>
    </Set>
    以下の手順 10 および 11 は、HTTPS または TLS を使用した CA PC 統合にのみ必要です。
  10. install_path
    /RIB/start.ini
    を編集します。
    1. 以下の行をコメント化して、HTTP 通信を無効にします。
      --module=http jetty.port=8681
    2. 以下の行のコメントを解除し、必要に応じて編集して(
      keystore.password
      keymanager.password
      は同じ値にする必要があります)、https 通信を有効にします。
      --module=https jetty.keystore=
      install_path
      /certs/nfa-console-keystore.pfx jetty.keystore.password=somepassword jetty.keymanager.password=somepassword jetty.truststore=
      install_path
      /certs/nfa-console-truststore.pfx jetty.truststore.password=somepassword https.port=8681
  11. install_path
    /RIB/etc/jetty-ssl.xml
    を編集し、以下を実行します。
    1. 特定のトランスポート レイヤ プロトコルのみに制限するには、設定終了タグの前にある以下のコメントを解除して編集します(これは TLS 1.2 のみに制限されます。)。
      <Call name="addExcludeProtocols">
      <Arg>
      <Array type="java.lang.String">
      <Item>SSL</Item>
      <Item>SSLv2</Item>
      <Item>SSLv2Hello</Item>
      <Item>SSLv3</Item>
      <Item>TLSv1</Item>
      <Item>TLSv1.1</Item>
      </Array>
      </Arg>
      </Call>
    2. 暗号を除外するには、
      <Set name="ExcludeCipherSuites">
      タグの後に以下の行を追加します。
      <Set>
      <Array type="String">
      <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
      <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
      <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
      <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
      <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
      <Item>TLS_RSA_WITH_RC4_128_MD5</Item>
      <Item>TLS_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
      <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
      </Array>
      </Set>
  12. ファイアウォールが有効になっている場合は、ポート 8382 および 8681 が開いていることを確認します。
  13. 以下のサービスをこの順序で再起動します。
    • CA MySQL
    • NetQoS NQMySql
    • CA NFA Harvester
    • CA NFA Collection and Poller Webservices
    • CA NFA Data Retention
    • CA NFA DNS/SNMP Proxies
    • CA NFA File Server
    • CA NFA Poller
    • CA NFA Reaper