MYSQL 接続用に TLS を有効にする

MYSQL 接続用に TLS を有効にする
nfa1000
このセクションは、安全な MYSQL 通信にのみ適用されます。
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
MySQL は、接続ごとに暗号化を実行します。MySQL 5.7.22 では、データベースとデータベースへの接続の両方で TLS 1.2 がサポートされています。
このプロセス中に設定ファイルで参照される *.pem、*.cer、*.crt、*.key ファイルなどの証明書および秘密鍵ファイルを安全な場所に格納してください。これらの証明書および秘密鍵ファイルが、このプロセスが完了した後に設定ファイルで参照されない一時ファイルである場合は、それらを移動または削除してください。
21.2.4 以降、
パスワード難読化
ユーティリティを使用すると、現在 SSL/TLS 設定ファイルにプレーン テキストとして記載されている SSL/TLS 関連のパスワードを難読化または暗号化できます。詳細については、「パスワード難読化ユーティリティ」を参照してください。
2
2
前提条件
TLS を有効にする前に、必要な証明書ファイルを作成します。
スタンドアロン システムでの TLS の有効化
以下の手順に従います。
  1. install_path
    \MySql\my.ini
    を編集し、以下の行のコメントを解除します。
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
    これらの行のすべての出現箇所を編集します。
    *.pem
    ファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
  2. ReporterAnalyzerWebSite アプリケーション プール設定を変更します。
    1. インターネット インフォメーション サービス(IIS)マネージャ
      を開き、
      [サイト]
      -
      [既定の Web サイト]
      を選択します。
    2. [操作]ペインの
      [基本設定]
      をクリックします。
      [サイトの編集]ウィンドウが表示されます。
    3. [テスト設定]
      をクリックして、サイト接続を確認します。
      正常に接続できたら、サイト接続を終了します。
      接続に失敗した場合は、以下の手順に従います
      (手順 d から手順 h)
    4. [サイトの編集]
      ウィンドウで
      [接続...]
      をクリックします。
      [接続]ウィンドウが表示されます。
    5. [特定のユーザー]
      を選択し、
      [設定]
      をクリックしてユーザ名とパスワードを入力します。
    6. [OK]
      をクリックし、サイト接続を終了します。
    7. [Restart for Default Web Site (デフォルトの Web サイトの再起動)]
      をクリックします。
    8. [OK]
      をクリックします。
  3. install_path
    \Netflow\bin\netqosmy.ini
    を編集し、以下の行のコメントを解除します。
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
  4. これらの行のすべての出現箇所を編集します。
    *.pem
    ファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
  5. install_path
    \DBUsers\ReporterAnalyzer.ini
    を編集します。
    1. requireSSL
      が false に設定されている箇所は、すべて true に設定します。
    2. keystore
      プロパティが以下に作成されたキーストアを指すようにしてください。
      CA Network Flow Analysis で使用する証明書を生成または設定する
      以下の例のように、すべてに同じ pkcs12 ストアを使用します。
      install_path
      /certs/nfa-console-keystore.pfx
    3. truststore
      プロパティが以下に作成されたトラスト ストアを指すようにしてください。
      CA Network Flow Analysis で使用する証明書を生成または設定する
      以下の例のように、すべてに同じ pkcs12 ストアを使用します。
      install_path
      /certs/nfa-console-truststore.pfx
    4. keystore/truststorepassword プロパティを、その生成に使用されるパスワードに設定します。
    5. SslCa
      install_path
      /certs/
      nfa-ca-cert.pem
      ファイルに設定します。
    6. SslCert
      install_path
      /certs/nfa-console-cert.pem
      ファイルに設定します。
    7. SslKey
      install_path
      /certs/nfa-console-key.pem
      ファイルに設定します。
  6. 以下のサービスをこの順序で再起動します。
    • CA MySql
    • NetQoS NQMySql
    • CA NFA Harvester
    • CA NFA Collection and Poller Webservices
    • CA NFA Data Retention
    • CA NFA DNS/SNMP Proxies
    • CA NFA File Server
    • CA NFA Poller
    • CA NFA Reaper
分散システムでの TLS の有効化
以下の手順に従います。
Console で以下の手順を実行します。
  1. install_path
    \MySql\my.ini
    を編集し、以下の行のコメントを解除します。
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
    これらの行のすべての出現箇所を編集します。
    *.pem
    ファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
  2. ReporterAnalyzerWebSite アプリケーション プール設定を変更します。
    1. インターネット インフォメーション サービス(IIS)マネージャ
      を開き、
      [サイト]
      -
      [既定の Web サイト]
      を選択します。
    2. [操作]ペインの
      [基本設定]
      をクリックします。
      [サイトの編集]ウィンドウが表示されます。
    3. [テスト設定]
      をクリックして、サイト接続を確認します。
      正常に接続できたら、サイト接続を終了します。
      接続に失敗した場合は、以下の手順に従います
      (手順 d から手順 h)
    4. [サイトの編集]
      ウィンドウで
      [接続...]
      をクリックします。
      [接続]ウィンドウが表示されます。
    5. [特定のユーザー]
      を選択し、
      [設定]
      をクリックしてユーザ名とパスワードを入力します。
    6. [OK]
      をクリックし、サイト接続を終了します。
    7. [Restart for Default Web Site (デフォルトの Web サイトの再起動)]
      をクリックします。
    8. [OK]
      をクリックします。
  3. サーバを再起動して、すべてのサービスを再起動します。
Harvester で、以下の手順を実行します。
  1. install_path
    \MySql\my.ini
    (または Linux では
    my.cnf
    )を編集し、以下の行のコメントを解除します。
    require_secure_transport=true
    tls_version=TLSv1,TLSv1.1,TLSv1.2
    ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem
    ssl-cert=
    install_path
    /certs/nfa-harvester-cert.pem
    ssl-key=
    install_path
    /certs/nfa-harvester-key.pem
    これらの行のすべての出現箇所を編集します。
    *.pem
    ファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
  2. install_path
    \Netflow\bin\netqosmy.ini
    (または Linux では
    Netflow/my.cnf
    )を編集し、以下の行のコメントを解除します。
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-harvester-cert.pem ssl-key=
    install_path
    /certs/nfa-harvester-key.pem
    これらの行のすべての出現箇所を編集します。
    *.pem
    ファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
  3. install_path
    \DBUsers\ReporterAnalyzer.ini
    を編集します。
    1. requireSSL
      が false に設定されている箇所は、すべて true に設定します。
    2. keystore
      プロパティが以下に作成されたキーストアを指すようにしてください。
      CA Network Flow Analysis で使用する証明書を生成または設定する
      以下の例のように、すべてに同じ pkcs12 ストアを使用します。
      install_path
      /certs/nfa-harvester-keystore.pfx
    3. truststore
      プロパティが以下に作成されたトラスト ストアを指すようにしてください。
      CA Network Flow Analysis で使用する証明書を生成または設定する
      以下の例のように、すべてに同じ pkcs12 ストアを使用します。
      install_path
      /certs/nfa-harvester-truststore.pfx
    4. keystore/truststorepassword プロパティを、その生成に使用されるパスワードに設定します。
    5. SslCa
      install_path
      /certs/
      nfa-ca-cert.pem
      ファイルに設定します。
    6. SslCert
      install_path
      /certs/nfa-harvester-cert.pem
      ファイルに設定します。
    7. SslKey
      install_path
      /certs/nfa-harvester-key.pem
      ファイルに設定します。
  4. 以下のサービスをこの順序で再起動します。
    • CA MySql
    • NetQoS NQMySql
    • CA NFA Harvester
    • CA NFA Collection and Poller Webservices
    • CA NFA Data Retention
    • CA NFA DNS/SNMP Proxies
    • CA NFA File Server
    • CA NFA Poller
    • CA NFA Reaper