HTTPS 接続用に TLS 1.2 を有効にする
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
nfa1000
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
前提条件
TLS を有効にする前に、必要な証明書ファイルを作成します。
以下の手順に従います。
これらの手順を正しく実行しないと、RDP 接続が失われることがあります。
- NFA をインストールしたシステムから、gpedit.msc を実行します。
- Computer Configuration、Administrative Templates、Windows Components、Remote Desktop Services、Remote Desktop Session Host、Security に移動します。
- [Require use of specific security layer for remote (RDP) connections (リモート(RDP)接続用に特定のセキュリティ レイヤの使用を必要とする)]をダブルクリックします。
- [有効]をクリックします。
- [セキュリティ レイヤ]ドロップダウン リストから、[Negotiate (ネゴシエート)]を選択します。
- [OK]をクリックします。
- レジストリをバックアップし、TLS 1.0 および TLS 1.1 用に以下のレジストリを作成します。
- キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server値: Enabled値の種類: REG_DWORD値のデータ: 0
- キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server値: Enabled値の種類: REG_DWORD値のデータ: 0
- install_path\Portal\SSO\etcに移動します。
- jetty-ssl-context.xmlファイルを編集し、タグ<Set name="ExcludeCipherSuites">の後に以下の行を追加します。<Set>..<Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item></Array></Set><!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>以下の手順 10 および 11 は、HTTPS または TLS を使用した CA PC 統合にのみ必要です。
- を編集します。install_path/RIB/start.ini
- 以下の行をコメント化して、HTTP 通信を無効にします。--module=http jetty.port=8681
- 以下の行のコメントを解除し、必要に応じて編集して(keystore.passwordとkeymanager.passwordは同じ値にする必要があります)、https 通信を有効にします。--module=https jetty.keystore=install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=somepassword jetty.keymanager.password=somepassword jetty.truststore=install_path/certs/nfa-console-truststore.pfx jetty.truststore.password=somepassword https.port=8681
- を編集し、以下を実行します。install_path/RIB/etc/jetty-ssl.xml
- 特定のトランスポート レイヤ プロトコルのみに制限するには、設定終了タグの前にある以下のコメントを解除して編集します(これは TLS 1.2 のみに制限されます。)。<Call name="addExcludeProtocols"><Arg><Array type="java.lang.String"><Item>SSL</Item><Item>SSLv2</Item><Item>SSLv2Hello</Item><Item>SSLv3</Item><Item>TLSv1</Item><Item>TLSv1.1</Item></Array></Arg></Call>
- 暗号を除外するには、<Set name="ExcludeCipherSuites">タグの後に以下の行を追加します。<Set><Array type="String"><Item>SSL_RSA_WITH_DES_CBC_SHA</Item><Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item><Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item><Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item><Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_RSA_WITH_RC4_128_MD5</Item><Item>TLS_RSA_WITH_RC4_128_MD5</Item><Item>TLS_RSA_WITH_RC4_128_SHA</Item><Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item><Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item><Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item><Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item></Array></Set>
- ファイアウォールが有効になっている場合は、ポート 8382 および 8681 が開いていることを確認します。
- 以下のサービスをこの順序で再起動します。
- CA MySQL
- NetQoS NQMySql
- CA NFA Harvester
- CA NFA Collection and Poller Webservices
- CA NFA Data Retention
- CA NFA DNS/SNMP Proxies
- CA NFA File Server
- CA NFA Poller
- CA NFA Reaper