Network Flow Analysis での HTTPS の有効化

(NFA)は、Web インターフェースを介して安全な通信を行うように設定できます。
nfa1000
DX NetOps Network Flow Analysis
(NFA)は、Web インターフェースを介して安全な通信を行うように設定できます。
21.2.4 以降、
パスワード難読化
ユーティリティを使用すると、現在 SSL/TLS 設定ファイルにプレーン テキストとして記載されている SSL/TLS 関連のパスワードを難読化または暗号化できます。詳細については、「パスワード難読化ユーティリティ」を参照してください。
前提条件
CA Network Flow Analysis で使用する証明書の生成または設定」の手順を使用して、必要な証明書ファイルを作成します。
Console での HTTPS の有効化
以下の手順に従います。
  1. サーバの信頼できる証明機関(
    CA
    )として、
    CA
    証明書(前提条件として生成されたもの)をインストールします。
    1. nfa-console-truststore.pfx
      をダブルクリックします。
      証明書のインポート ウィザードが開きます。
    2. [証明書のインポート ウィザードの開始]
      画面で、
      [ローカル コンピュータ]
      を選択し、
      [次へ]
      をクリックします。
    3. [インポートする証明書ファイル]
      画面で、インポートする証明書のファイル パスとファイル名を入力し、
      [次へ]
      をクリックします。
      ファイルがパスワードで保護されている場合、この時点でパスワードの入力を求めるメッセージが表示されることがあります。
    4. (オプション)パスワードを入力し、
      [次へ]
      をクリックします。
    5. [証明書ストア]画面で、
      [証明書をすべて次のストアに配置する]
      オプションを選択します。
    6. [参照]
      をクリックし、
      [信頼されたルート証明機関]
      を選択して、
      [OK]
      をクリックします。
    7. [次へ]
      をクリックします。
    8. [証明書のインポート ウィザードの完了]
      画面で、インポート情報を確認し、
      [完了]
      をクリックします。
    9. [OK]
      をクリックしてウィザードを閉じます。
  2. Console SSL 証明書をインストールします。
    1. 署名入り証明書を IIS マネージャ サーバ証明書にインストールします。
      1. インターネット インフォメーション サービス(IIS)マネージャ
        で、
        [機能]
        ビューに移動します。
      2. サーバ証明書
        を開きます。
      3. [アクション]
        の下で、
        [インポート]
        をクリックして
        nfa-console-keystore.pfx
        ファイルをインポートします。
    2. 証明書が適切にインストールされていることを確認するには、証明書を開き、
      [証明書のパス]
      タブを選択します。
      [証明書のパス]に表示された各証明書を選択し、
      [証明書ステータス]
      フィールドに「この証明書は問題ありません。」と表示されていることを確認します。
      [証明書ステータス]
      フィールドにエラーが表示されている場合は、証明書プロバイダにお問い合わせください。
      Certificatestatus.jpg
  3. HTTPS ポート IIS アプリケーションを設定します。デフォルトでは、IIS には HTTPS に対するバインディングがありません。
    1. インターネット インフォメーション サービス(IIS)マネージャ
      で、
      [既定の Web サイト]
      に移動します。
    2. [操作]
      で、
      [バインド]
      をクリックします。
    3. [サイト バインド]
      ダイアログ ボックスで、
      [追加]
      をクリックします。
      SiteBindings_Add.jpg
    4. [SSL 証明書]
      リストから署名入り証明書を選択します。
      AddSiteBinding.jpg
      http-port 80 バインドを無効にしないでください。http が無効な場合、
      DX NetOps Network Flow Analysis
      は正常に機能しません。
  4. 製品設定 XML ファイルを編集します。
    install_path\Portal\SSO\webapps\sso\configuration\ReporterAnalyzer.xml
    1. [SignInPageProductDefaultUrl]
      セクションで、
      [スキーム]
      を http から https に変更します。
    2. [ポート]
      に「443」を入力します(デフォルトでは空白)。
    例:
    <?xml version="1.0" encoding="utf-8" ?> <Configuration> <SingleSignOnEnabled>True</SingleSignOnEnabled> <SingleSignOnProductCode>ra</SingleSignOnProductCode> <SignInPageProductTitle><![CDATA[NetQoS<sup><font class="Superscript">®</font></sup> ReporterAnalyzer<sup><font class="Superscript">™</font></sup>]] ></SignInPageProductTitle> <SignInPageProductDescription>Network Traffic Analysis</SignInPageProductDescription> <SignInPageProductDefaultUrl> <Scheme>https</Scheme> <Port>443</Port> <PathAndQuery>/ra/default.aspx</PathAndQuery> </SignInPageProductDefaultUrl> <SingleSignOnWebServiceUrl> <Scheme>http</Scheme> <Port></Port> <PathAndQuery>/ReporterDataSource/SingleSignOnWS.asmx</PathAndQuery> </SingleSignOnWebServiceUrl> </Configuration>
  5. Single Sign-On SSL スキームおよびポートを設定します。
    install_path\Portal\sso\bin\SsoConfig.exe
    を実行します。
    SSO Configuration: 1. DX NetOps 2. CA Network Flow Analysis
    Choose an option: >2
    SSO Configuration/CA Network Flow Analysis: 1. LDAP Authentication 2. SAML2 Authentication 3. Performance Center 4. Single Sign-On 5. Test LDAP 6. Export SAML2 Service Provider Metadata
    Choose an option: >4
    SSO Configuration/CA Network Flow Analysis/Single Sign-On: Anonymous User Enabled: Disabled Anonymous User ID: >2 Localhost User Sign-In Page Enabled: Disabled Localhost User Enabled: Enabled Localhost User ID: 1 Cookie Timeout Minutes: 20 Encryption Decryption Key: #$utP9%z Encryption Algorithm: DESFailed Sleep Seconds: 3 Remember Me Enabled: Enabled Remember Me Timeout Days: 15 Scheme: http Port: 8381 Virtual Directory: so 1. Remote Value 2. Local Override
    Choose an option >2
    SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property > 12
    Enter u to update to new value >u Enter new value >https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >13
    Enter u to update to new value >u Enter new value >8382 Enter q to quit SsoConfig SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >15
    Property: Scheme for Data Sources (Local Override) Value: Example: http Description: This field specifies the URL scheme that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Scheme, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >16
    Property: Port for Data Sources (Local Override) Value: Example: 8381 Description: This field specifies the URL port that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Port, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > 8382 SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12.
    Scheme: https
    13.
    Port: 8382
    14. Virtual Directory: 15.
    Scheme for Data Sources: https
    16.
    Port for Data Sources: 8382
    Select a Property >
  6. SSO
    start.ini
    ファイルをバックアップしてから編集します。
    install_path\Portal\SSO\start.ini
    を編集します。
    1. --module=ssl
      行のコメントを解除して、アクティブにします。
      --module=ssl
    2. --module=http
      行を https になるように変更します。
      --module=https
  7. SSO の
    jetty-https.xml
    jetty-ssl.xml
    jetty-ssl-context.xml
    の各ファイルを設定します。
    21.2.2 リリースまでのみ該当
    アップグレード中、これらのファイルは install_path/Potral/SSO.backup に自動的にバックアップされます。アップグレード後に、これらのファイルを install_path\Portal\Jetty\etc\ ディレクトリにコピーしてください。
    1. jetty-https.xml
      テンプレートを
      install_path\Portal\Jetty\etc\jetty-https.xml
      から
      install_path\Portal\SSO\etc\jetty-https.xml
    2. jetty-ssl.xml
      テンプレートを
      install_path\Portal\Jetty\etc\jetty-ssl.xml
      から
      install_path\Portal\SSO\etc\jetty-ssl.xml
    3. jetty-ssl-context.xml
      テンプレートを
      install_path\Portal\Jetty\etc\jetty-ssl-context.xml
      から以下にコピーします。
      install_path\Portal\SSO\etc\jetty-ssl-context.xml
    4. install_path\Portal\SSO\etc\jetty-ssl.xml
      を編集します。
      addConnector
      セクションで、ポートを 8382 に設定します。
      <Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
    5. install_path\Portal\SSO\etc\jetty-ssl-context.xml
      を編集します。
      sslContextFactory
      セクションを編集して、以下の行を含めます。
      <Set name="KeyStorePath"> <Property name="jetty.sslContext.keyStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.keyStorePath" deprecated="jetty.keystore" default="install_path/certs/nfa-console-keystore.pfx"/> </Default> </Property> </Set> <Set name="KeyStorePassword"><Property name="jetty.sslContext.keyStorePassword" deprecated="jetty.keystore.password" default="yourkeypassword"/></Set> <Set name="KeyStoreType"><Property name="jetty.sslContext.keyStoreType" default="pkcs12"/></Set> <Set name="KeyStoreProvider"><Property name="jetty.sslContext.keyStoreProvider"/></Set> <Set name="KeyManagerPassword"><Property name="jetty.sslContext.keyManagerPassword" deprecated="jetty.keymanager.password" default="yourkeypassword"/> </Set> <Set name="TrustStorePath"> <Property name="jetty.sslContext.trustStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.trustStorePath" deprecated="jetty.truststore" default="install_path/certs/nfa-console-truststore.pfx"/> </Default> </Property> </Set> <Set name="TrustStorePassword"> <Property name="jetty.sslContext.trustStorePassword" deprecated="jetty.truststore.password" default="yourkeypassword"/> </Set> <Set name="TrustStoreType"><Property name="jetty.sslContext.trustStoreType" default="pkcs12"/></Set> <Set name="TrustStoreProvider"> <Property name="jetty.sslContext.trustStoreProvider"/></Set>
      KeyStorePassword
      TrustStorePassword
      の両方に対して「CA Network Flow Analysis で使用する証明書を生成または設定する」で作成したキーストア/トラストストア パスワードを使用します。
  8. NFA Console を再起動して、変更を適用します。
  9. https を使用して NFA Console にアクセスできることを確認します。
    21.2.4 以降では、パスワード難読化ユーティリティを実行して、SSL/TLS 関連のパスワードを難読化または暗号化します。詳細については、「パスワード難読化ユーティリティ」を参照してください。
HTTPS 接続用に TLS 1.2 を有効にする
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
以下の手順に従います。
これらの手順を正しく実行しないと、RDP 接続が失われることがあります。
  1. NFA をインストールしたシステムから、gpedit.msc を実行します。
  2. [コンピュータの構成]-[管理用テンプレート]-[Windows コンポーネント][リモート デスクトップ サービス]-[リモート デスクトップ セッション ホスト]-[セキュリティ]に移動します。
  3. [Require use of specific security layer for remote (RDP) connections (リモート(RDP)接続用に特定のセキュリティ レイヤの使用を必要とする)]
    をダブルクリックします。
  4. [有効]
    をクリックします。
  5. [セキュリティ レイヤ]ドロップダウン リストから、
    [Negotiate (ネゴシエート)]
    を選択します。
  6. [OK]
    をクリックします。
  7. レジストリをバックアップし、TLS 1.0 および TLS 1.1 用に以下のレジストリを作成します。
    1. キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
      値: Enabled
      値の種類: REG_DWORD
      値のデータ: 0
    2. キー: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
      値: Enabled
      値の種類: REG_DWORD
      値のデータ: 0
  8. install_path\Portal\Jetty\etc
    に移動します。
  9. jetty-ssl-context.xml
    ファイルを編集し、タグ
    <Set name="ExcludeCipherSuites">
    の後に以下の行を追加します。
    <Set> . . <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set> <!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
HTTPS または TLS を使用した
DX NetOps Network Flow Analysis
と DX NetOps Performance Management の統合
HTTPS または TLS を使用して
DX NetOps Network Flow Analysis
を DX NetOps Performance Management と統合する場合は、以下の手順を実行します。
21.2.2 リリースまでのみ該当
アップグレード中、jetty-ssl.xml および jetty-ssl-context.xml ファイルが上書きされます。これらのファイルをバックアップし、同じディレクトリ内の古いファイルを置換してください。
証明書設定ファイルで証明書パスを指定するときは、必ずスラッシュ(/)を使用してください。
  1. install_path
    /RIB/start.ini
    を編集します。
    1. 以下の行をコメント化して、HTTP 通信を無効にします。
      --module=http jetty.port=8681
    2. 以下の行のコメントを解除し、必要に応じて編集して(
      keystore.password
      keymanager.password
      は同じ値にする必要があります)、https 通信を有効にします。
      --module=https jetty.keystore= install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=<user_defined> jetty.keymanager.password=<user_defined> jetty.truststore=
      install_path
      /certs/nfa-console-truststore.pfx jetty.truststore.password=<user_defined> https.port=8681
  2. jetty-ssl.xml および jetty-ssl-context.xml ファイルを Portal/SSO/etc ディレクトリから RIB/etc/ ディレクトリにコピーします。
  3. jetty-ssl.xml ファイルの変更
    1. デフォルト ポートを 8681 に設定します。
      <Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
    2. <Call name="addConnector"> セクションで以下のプロパティをコメント化します。
      <Set name="reuseAddress"><Property name="jetty.ssl.reuseAddress" default="true"/></Set> <Set name="acceptedTcpNoDelay"><Property name="jetty.ssl.acceptedTcpNoDelay" default="true"/></Set> <Set name="acceptedReceiveBufferSize"><Property name="jetty.ssl.acceptedReceiveBufferSize" default="-1"/></Set> <Set name="acceptedSendBufferSize"><Property name="jetty.ssl.acceptedSendBufferSize" default="-1"/></Set> <Get name="SelectorManager"> <Set name="connectTimeout"><Property name="jetty.ssl.connectTimeout" default="15000"/></Set> </Get>
    3. <Call name="addCustomizer"> セクションで以下のプロパティをコメント化します。
      <Arg name="sniRequired" type="boolean"><Property name="jetty.ssl.sniRequired" default="false"/></Arg>
    4. ファイルを保存して閉じます。
  4. jetty-ssl-context.xml ファイルの変更
    1. <Configure id="sslContextFactory"> セクションで以下のプロパティをコメント化します。
      <Set name="sslSessionCacheSize"><Property name="jetty.sslContext.sslSessionCacheSize" default="-1"/></Set><Set name="sslSessionTimeout"><Property name="jetty.sslContext.sslSessionTimeout" default="-1"/></Set><Set name="RenegotiationAllowed"><Property name="jetty.sslContext.renegotiationAllowed" default="true"/></Set><Set name="RenegotiationLimit"><Property name="jetty.sslContext.renegotiationLimit" default="5"/></Set><Set name="SniRequired"><Property name="jetty.sslContext.sniRequired" default="false"/></Set>
    2. 暗号を除外するには、以下の行を追加します。
      <Set name="ExcludeCipherSuites"> <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set>
    3. 特定のトランスポート レイヤ プロトコルのみに制限するには、以下の引数を追加します(この設定では TLS 1.2 のみに制限されます)。
      <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
  5. ファイアウォールが有効になっている場合は、ポート 8382 および 8681 が開いていることを確認します。
  6. 以下のサービスをこの順序で再起動します。
    • CA MySQL
    • NetQoS NQMySql
    • CA NFA Harvester
    • CA NFA Collection and Poller Webservices
    • CA NFA Data Retention
    • CA NFA DNS/SNMP Proxies
    • CA NFA File Server
    • CA NFA Poller
    • CA NFA Reaper