Network Flow Analysis での HTTPS の有効化
(NFA)は、Web インターフェースを介して安全な通信を行うように設定できます。
nfa1000
DX NetOps Network Flow Analysis
(NFA)は、Web インターフェースを介して安全な通信を行うように設定できます。21.2.4 以降、
パスワード難読化
ユーティリティを使用すると、現在 SSL/TLS 設定ファイルにプレーン テキストとして記載されている SSL/TLS 関連のパスワードを難読化または暗号化できます。詳細については、「パスワード難読化ユーティリティ」を参照してください。前提条件
「CA Network Flow Analysis で使用する証明書の生成または設定」の手順を使用して、必要な証明書ファイルを作成します。
Console での HTTPS の有効化
以下の手順に従います。
- サーバの信頼できる証明機関(CA)として、CA証明書(前提条件として生成されたもの)をインストールします。
- nfa-console-truststore.pfxをダブルクリックします。証明書のインポート ウィザードが開きます。
- [証明書のインポート ウィザードの開始]画面で、[ローカル コンピュータ]を選択し、[次へ]をクリックします。
- [インポートする証明書ファイル]画面で、インポートする証明書のファイル パスとファイル名を入力し、[次へ]をクリックします。ファイルがパスワードで保護されている場合、この時点でパスワードの入力を求めるメッセージが表示されることがあります。
- (オプション)パスワードを入力し、[次へ]をクリックします。
- [証明書ストア]画面で、[証明書をすべて次のストアに配置する]オプションを選択します。
- [参照]をクリックし、[信頼されたルート証明機関]を選択して、[OK]をクリックします。
- [次へ]をクリックします。
- [証明書のインポート ウィザードの完了]画面で、インポート情報を確認し、[完了]をクリックします。
- [OK]をクリックしてウィザードを閉じます。
- Console SSL 証明書をインストールします。
- 署名入り証明書を IIS マネージャ サーバ証明書にインストールします。
- インターネット インフォメーション サービス(IIS)マネージャで、[機能]ビューに移動します。
- サーバ証明書を開きます。
- [アクション]の下で、[インポート]をクリックしてnfa-console-keystore.pfxファイルをインポートします。
「インターネット サーバ証明書のインストール」を参照してください。 - 証明書が適切にインストールされていることを確認するには、証明書を開き、[証明書のパス]タブを選択します。[証明書のパス]に表示された各証明書を選択し、[証明書ステータス]フィールドに「この証明書は問題ありません。」と表示されていることを確認します。[証明書ステータス]フィールドにエラーが表示されている場合は、証明書プロバイダにお問い合わせください。

- HTTPS ポート IIS アプリケーションを設定します。デフォルトでは、IIS には HTTPS に対するバインディングがありません。
- インターネット インフォメーション サービス(IIS)マネージャで、[既定の Web サイト]に移動します。
- [操作]で、[バインド]をクリックします。
- [サイト バインド]ダイアログ ボックスで、[追加]をクリックします。

- [SSL 証明書]リストから署名入り証明書を選択します。
http-port 80 バインドを無効にしないでください。http が無効な場合、DX NetOps Network Flow Analysisは正常に機能しません。
- 製品設定 XML ファイルを編集します。install_path\Portal\SSO\webapps\sso\configuration\ReporterAnalyzer.xml
- [SignInPageProductDefaultUrl]セクションで、[スキーム]を http から https に変更します。
- [ポート]に「443」を入力します(デフォルトでは空白)。
例:<?xml version="1.0" encoding="utf-8" ?> <Configuration> <SingleSignOnEnabled>True</SingleSignOnEnabled> <SingleSignOnProductCode>ra</SingleSignOnProductCode> <SignInPageProductTitle><![CDATA[NetQoS<sup><font class="Superscript">®</font></sup> ReporterAnalyzer<sup><font class="Superscript">™</font></sup>]] ></SignInPageProductTitle> <SignInPageProductDescription>Network Traffic Analysis</SignInPageProductDescription> <SignInPageProductDefaultUrl> <Scheme>https</Scheme> <Port>443</Port> <PathAndQuery>/ra/default.aspx</PathAndQuery> </SignInPageProductDefaultUrl> <SingleSignOnWebServiceUrl> <Scheme>http</Scheme> <Port></Port> <PathAndQuery>/ReporterDataSource/SingleSignOnWS.asmx</PathAndQuery> </SingleSignOnWebServiceUrl> </Configuration> - Single Sign-On SSL スキームおよびポートを設定します。install_path\Portal\sso\bin\SsoConfig.exeを実行します。SSO Configuration: 1. DX NetOps 2. CA Network Flow AnalysisChoose an option: >2SSO Configuration/CA Network Flow Analysis: 1. LDAP Authentication 2. SAML2 Authentication 3. Performance Center 4. Single Sign-On 5. Test LDAP 6. Export SAML2 Service Provider MetadataChoose an option: >4SSO Configuration/CA Network Flow Analysis/Single Sign-On: Anonymous User Enabled: Disabled Anonymous User ID: >2 Localhost User Sign-In Page Enabled: Disabled Localhost User Enabled: Enabled Localhost User ID: 1 Cookie Timeout Minutes: 20 Encryption Decryption Key: #$utP9%z Encryption Algorithm: DESFailed Sleep Seconds: 3 Remember Me Enabled: Enabled Remember Me Timeout Days: 15 Scheme: http Port: 8381 Virtual Directory: so 1. Remote Value 2. Local OverrideChoose an option >2SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property > 12Enter u to update to new value >u Enter new value >https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >13Enter u to update to new value >u Enter new value >8382 Enter q to quit SsoConfig SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >15Property: Scheme for Data Sources (Local Override) Value: Example: http Description: This field specifies the URL scheme that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Scheme, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >16Property: Port for Data Sources (Local Override) Value: Example: 8381 Description: This field specifies the URL port that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Port, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > 8382 SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12.Scheme: https13.Port: 838214. Virtual Directory: 15.Scheme for Data Sources: https16.Port for Data Sources: 8382Select a Property >
- SSOstart.iniファイルをバックアップしてから編集します。install_path\Portal\SSO\start.iniを編集します。
- --module=ssl行のコメントを解除して、アクティブにします。--module=ssl
- --module=http行を https になるように変更します。--module=https
- SSO のjetty-https.xml、jetty-ssl.xml、jetty-ssl-context.xmlの各ファイルを設定します。21.2.2 リリースまでのみ該当アップグレード中、これらのファイルは install_path/Potral/SSO.backup に自動的にバックアップされます。アップグレード後に、これらのファイルを install_path\Portal\Jetty\etc\ ディレクトリにコピーしてください。
- jetty-https.xmlテンプレートをinstall_path\Portal\Jetty\etc\jetty-https.xmlからinstall_path\Portal\SSO\etc\jetty-https.xml
- jetty-ssl.xmlテンプレートを
からinstall_path\Portal\Jetty\etc\jetty-ssl.xmlinstall_path\Portal\SSO\etc\jetty-ssl.xml - jetty-ssl-context.xmlテンプレートをinstall_path\Portal\Jetty\etc\jetty-ssl-context.xmlから以下にコピーします。install_path\Portal\SSO\etc\jetty-ssl-context.xml
- install_path\Portal\SSO\etc\jetty-ssl.xmlを編集します。addConnectorセクションで、ポートを 8382 に設定します。<Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
- install_path\Portal\SSO\etc\jetty-ssl-context.xmlを編集します。sslContextFactoryセクションを編集して、以下の行を含めます。<Set name="KeyStorePath"> <Property name="jetty.sslContext.keyStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.keyStorePath" deprecated="jetty.keystore" default="install_path/certs/nfa-console-keystore.pfx"/> </Default> </Property> </Set> <Set name="KeyStorePassword"><Property name="jetty.sslContext.keyStorePassword" deprecated="jetty.keystore.password" default="yourkeypassword"/></Set> <Set name="KeyStoreType"><Property name="jetty.sslContext.keyStoreType" default="pkcs12"/></Set> <Set name="KeyStoreProvider"><Property name="jetty.sslContext.keyStoreProvider"/></Set> <Set name="KeyManagerPassword"><Property name="jetty.sslContext.keyManagerPassword" deprecated="jetty.keymanager.password" default="yourkeypassword"/> </Set> <Set name="TrustStorePath"> <Property name="jetty.sslContext.trustStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.trustStorePath" deprecated="jetty.truststore" default="install_path/certs/nfa-console-truststore.pfx"/> </Default> </Property> </Set> <Set name="TrustStorePassword"> <Property name="jetty.sslContext.trustStorePassword" deprecated="jetty.truststore.password" default="yourkeypassword"/> </Set> <Set name="TrustStoreType"><Property name="jetty.sslContext.trustStoreType" default="pkcs12"/></Set> <Set name="TrustStoreProvider"> <Property name="jetty.sslContext.trustStoreProvider"/></Set>KeyStorePasswordとTrustStorePasswordの両方に対して「CA Network Flow Analysis で使用する証明書を生成または設定する」で作成したキーストア/トラストストア パスワードを使用します。
- NFA Console を再起動して、変更を適用します。
- https を使用して NFA Console にアクセスできることを確認します。21.2.4 以降では、パスワード難読化ユーティリティを実行して、SSL/TLS 関連のパスワードを難読化または暗号化します。詳細については、「パスワード難読化ユーティリティ」を参照してください。
HTTPS 接続用に TLS 1.2 を有効にする
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
以下の手順に従います。
これらの手順を正しく実行しないと、RDP 接続が失われることがあります。
- NFA をインストールしたシステムから、gpedit.msc を実行します。
- [コンピュータの構成]-[管理用テンプレート]-[Windows コンポーネント][リモート デスクトップ サービス]-[リモート デスクトップ セッション ホスト]-[セキュリティ]に移動します。
- [Require use of specific security layer for remote (RDP) connections (リモート(RDP)接続用に特定のセキュリティ レイヤの使用を必要とする)]をダブルクリックします。
- [有効]をクリックします。
- [セキュリティ レイヤ]ドロップダウン リストから、[Negotiate (ネゴシエート)]を選択します。
- [OK]をクリックします。
- レジストリをバックアップし、TLS 1.0 および TLS 1.1 用に以下のレジストリを作成します。
- キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server値: Enabled値の種類: REG_DWORD値のデータ: 0
- キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server値: Enabled値の種類: REG_DWORD値のデータ: 0
- install_path\Portal\Jetty\etcに移動します。
- jetty-ssl-context.xmlファイルを編集し、タグ<Set name="ExcludeCipherSuites">の後に以下の行を追加します。<Set> . . <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set> <!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
HTTPS または TLS を使用した
DX NetOps Network Flow Analysis
と DX NetOps Performance Management の統合HTTPS または TLS を使用して
DX NetOps Network Flow Analysis
を DX NetOps Performance Management と統合する場合は、以下の手順を実行します。21.2.2 リリースまでのみ該当
アップグレード中、jetty-ssl.xml および jetty-ssl-context.xml ファイルが上書きされます。これらのファイルをバックアップし、同じディレクトリ内の古いファイルを置換してください。
証明書設定ファイルで証明書パスを指定するときは、必ずスラッシュ(/)を使用してください。
- を編集します。install_path/RIB/start.ini
- 以下の行をコメント化して、HTTP 通信を無効にします。--module=http jetty.port=8681
- 以下の行のコメントを解除し、必要に応じて編集して(keystore.passwordとkeymanager.passwordは同じ値にする必要があります)、https 通信を有効にします。--module=https jetty.keystore= install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=<user_defined> jetty.keymanager.password=<user_defined> jetty.truststore=install_path/certs/nfa-console-truststore.pfx jetty.truststore.password=<user_defined> https.port=8681
- jetty-ssl.xml および jetty-ssl-context.xml ファイルを Portal/SSO/etc ディレクトリから RIB/etc/ ディレクトリにコピーします。
- jetty-ssl.xml ファイルの変更
- デフォルト ポートを 8681 に設定します。<Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
- <Call name="addConnector"> セクションで以下のプロパティをコメント化します。<Set name="reuseAddress"><Property name="jetty.ssl.reuseAddress" default="true"/></Set> <Set name="acceptedTcpNoDelay"><Property name="jetty.ssl.acceptedTcpNoDelay" default="true"/></Set> <Set name="acceptedReceiveBufferSize"><Property name="jetty.ssl.acceptedReceiveBufferSize" default="-1"/></Set> <Set name="acceptedSendBufferSize"><Property name="jetty.ssl.acceptedSendBufferSize" default="-1"/></Set> <Get name="SelectorManager"> <Set name="connectTimeout"><Property name="jetty.ssl.connectTimeout" default="15000"/></Set> </Get>
- <Call name="addCustomizer"> セクションで以下のプロパティをコメント化します。<Arg name="sniRequired" type="boolean"><Property name="jetty.ssl.sniRequired" default="false"/></Arg>
- ファイルを保存して閉じます。
- jetty-ssl-context.xml ファイルの変更
- <Configure id="sslContextFactory"> セクションで以下のプロパティをコメント化します。<Set name="sslSessionCacheSize"><Property name="jetty.sslContext.sslSessionCacheSize" default="-1"/></Set><Set name="sslSessionTimeout"><Property name="jetty.sslContext.sslSessionTimeout" default="-1"/></Set><Set name="RenegotiationAllowed"><Property name="jetty.sslContext.renegotiationAllowed" default="true"/></Set><Set name="RenegotiationLimit"><Property name="jetty.sslContext.renegotiationLimit" default="5"/></Set><Set name="SniRequired"><Property name="jetty.sslContext.sniRequired" default="false"/></Set>
- 暗号を除外するには、以下の行を追加します。<Set name="ExcludeCipherSuites"> <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set>
- 特定のトランスポート レイヤ プロトコルのみに制限するには、以下の引数を追加します(この設定では TLS 1.2 のみに制限されます)。<Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
- ファイアウォールが有効になっている場合は、ポート 8382 および 8681 が開いていることを確認します。
- 以下のサービスをこの順序で再起動します。
- CA MySQL
- NetQoS NQMySql
- CA NFA Harvester
- CA NFA Collection and Poller Webservices
- CA NFA Data Retention
- CA NFA DNS/SNMP Proxies
- CA NFA File Server
- CA NFA Poller
- CA NFA Reaper