NFA Console と Harvester 間の HTTPS 通信の有効化
NFA Console と Harvester の間の通信が保護されるように
DX NetOps Network Flow Analysis
(NFA)を設定できます。NFA Console と Harvester の間の通信が保護されるように
DX NetOps Network Flow Analysis
(NFA)を設定できます。前提条件:
NFA Console と Harvester の間の安全な通信を有効化する前に、認証局(CA)証明書によって署名された証明書が各 Harvester 用に生成されていることを確認し、[Common Name]
に Harvester の IP アドレスを指定します。 詳細については、「
DX NetOps Network Flow Analysis
で使用する証明書の生成または設定」を参照してください。このプロセス中に設定ファイルで参照される *.pem、*.cer、*.crt、*.key ファイルなどの証明書および秘密鍵ファイルを安全な場所に格納してください。これらの証明書および秘密鍵ファイルが、このプロセスが完了した後に設定ファイルで参照されない一時ファイルである場合は、それらを移動または削除してください。
21.2.4 以降、
パスワード難読化
ユーティリティを使用すると、現在 SSL/TLS 設定ファイルにプレーン テキストとして記載されている SSL/TLS 関連のパスワードを難読化または暗号化できます。詳細については、「パスワード難読化ユーティリティ」を参照してください。スタンドアロンおよび分散
DX NetOps Network Flow Analysis
環境スタンドアロン環境と分散
DX NetOps Network Flow Analysis
環境の両方で、以下の設定を実行します。- 信頼できる CA としてサーバ用に生成した CA 証明書をインストールします。
- nfa-console-truststore.pfxファイルを開きます。
- インポート ウィザードを実行して、ローカル マシンで信頼されている証明書をインポートします。
- [証明書ストア]ウィンドウで、証明書の格納先として[信頼されたルート証明機関]を選択します。
- 証明書が正しくインストールされていることを確認するには、以下の手順に従います。
- certmgr.msc コマンドを実行します。[証明書マネージャ]ウィンドウが開きます。
- [信頼されたルート証明機関]-[証明書]に移動します。右側のペインに信頼できる証明書が表示されます。
- 証明書のパスに表示された各証明書を選択し、[証明書の状態]フィールドに[この証明書は問題ありません]と表示されていることを確認します。[証明書の状態]フィールドにエラーが表示されている場合は、証明書プロバイダにお問い合わせください。以下の図は、このタブを示しています。

- nfa-console-truststore.pfxファイルを Console サーバのinstall_path\certsディレクトリにコピーします。インストールのタイプに応じて、適切な手順を実行します。
スタンドアロン環境
以下の設定は、
スタンドアロン
環境でのみ実行します。- ReportAnalyzer.iniを開きます。install_path\DBUsers\ReporterAnalyzer.ini
- 以下の手順を実行します。
- ReporterAnalyzer.enableSecureInternalCommを true に設定します。
- reporteranalyzer.iniファイル内の証明書のパスおよびパスワードを以下のように設定します。ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
- Console と Harvester で変更が完了したら、Console サービスおよび Harvester サービスを再起動します。
分散環境
以下の設定は、
分散
環境でのみ実行します。Console で、以下を実行します。
- ReportAnalyzer.iniを開きます。install_path\DBUsers\ReporterAnalyzer.ini
- 以下の手順を実行します。
- ReporterAnalyzer.enableSecureInternalCommを true に設定します。
- reporteranalyzer.iniファイル内の証明書のパスおよびパスワードを以下のように設定します。ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
各 Harvester で、以下を実行します。
- 「CA Network Flow Analysis で使用するための証明書の生成または設定」で生成した.pfxおよび.pemHarvester ファイルをinstall_path\certsディレクトリにコピーします。たとえば、Harvester のC:\CA\NFA\certsディレクトリです。
- Harvester 上にあるReportAnalyzer.iniを開きます。install_path\DBUsers\ReporterAnalyzer.ini
- 以下の手順を実行します。
- ReporterAnalyzer.enableSecureInternalCommを true に設定します。
- reporteranalyzer.iniファイル内の証明書のパスおよびパスワードを以下のように設定します。ReporterAnalyzer.keyStore=install_path/certs/nfa-harvester-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-harvester-truestore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
- Console と Harvester で変更が完了したら、Console サービスおよび Harvester サービスを再起動します。
Harvester での TLS 1.2 の有効化
Harvester で TLS 1.2 プロトコルを有効化するには、以下の手順に従います。
- 以下の場所からharvester-wrapper.confファイルを開きます。$NFAROOT/NFA/Netflow/conf
- Java Additional Parametersセクションに、以下のプロパティを追加します。wrapper.java.additional.11=-Djdk.tls.client.protocols="TLSv1.2"
- 以下の場所からcollpollws-wrapper.confファイルを開きます。$NFAROOT/NFA/Netflow/conf
- Java Additional Parametersセクションに、以下のプロパティを追加します。wrapper.java.additional.8=-Djdk.tls.client.protocols="TLSv1.2"
- 以下の場所からfileserver-wrapper.confファイルを開きます。$NFAROOT/NFA/Netflow/conf
- Java Additional Parametersセクションに、以下のプロパティを追加します。wrapper.java.additional.5=-Djdk.tls.client.protocols="TLSv1.2"以下の例のように、Djdk.tls.client.protocolsで「カンマ」を使用してプロトコルを指定することにより、TLS 1.1 と TLS 1.2 を有効化できます。-Djdk.tls.client.protocols="TLSv1.1, TLSv1.2"
- サービスを以下の順序で再起動します。
- CA NFA Harvester
- CA NFA Collection and Poller Webservices
- CA NFA File Server
- Windows マシンの場合:サービス マネージャからサービスを再起動します。
- Linux マシンの場合:以下のコマンドを使用して、サービスを停止および開始します。
- CA NFA Harvester サービス/etc/rc.d/init.d/nfa_harvester stop /etc/rc.d/init.d/nfa_harvester start
- CA NFA Collection and Poller Webservices/etc/rc.d/init.d/nfa_collpollws stop /etc/rc.d/init.d/nfa_collpollws start
- CA NFA File Server/etc/rc.d/init.d/nfa_filewebservice stop /etc/rc.d/init.d/nfa_filewebservice start