MYSQL 接続用に TLS を有効にする
MYSQL 接続用に TLS を有効にする
nfa1000
このセクションは、安全な MYSQL 通信にのみ適用されます。
トランスポート レイヤ セキュリティ(TLS)は、ネットワーク上の通信をセキュリティで保護する暗号プロトコルです。
MySQL は、接続ごとに暗号化を実行します。MySQL 5.7.22 では、データベースとデータベースへの接続の両方で TLS 1.2 がサポートされています。
このプロセス中に設定ファイルで参照される *.pem、*.cer、*.crt、*.key ファイルなどの証明書および秘密鍵ファイルを安全な場所に格納してください。これらの証明書および秘密鍵ファイルが、このプロセスが完了した後に設定ファイルで参照されない一時ファイルである場合は、それらを移動または削除してください。
21.2.4 以降、
パスワード難読化
ユーティリティを使用すると、現在 SSL/TLS 設定ファイルにプレーン テキストとして記載されている SSL/TLS 関連のパスワードを難読化または暗号化できます。詳細については、「パスワード難読化ユーティリティ」を参照してください。2
2
前提条件
TLS を有効にする前に、必要な証明書ファイルを作成します。
スタンドアロン システムでの TLS の有効化
以下の手順に従います。
- を編集し、以下の行のコメントを解除します。install_path\MySql\my.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pemこれらの行のすべての出現箇所を編集します。*.pemファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
- ReporterAnalyzerWebSite アプリケーション プール設定を変更します。
- インターネット インフォメーション サービス(IIS)マネージャを開き、[サイト]-[既定の Web サイト]を選択します。
- [操作]ペインの[基本設定]をクリックします。[サイトの編集]ウィンドウが表示されます。
- [テスト設定]をクリックして、サイト接続を確認します。正常に接続できたら、サイト接続を終了します。接続に失敗した場合は、以下の手順に従います(手順 d から手順 h)。
- [サイトの編集]ウィンドウで[接続...]をクリックします。[接続]ウィンドウが表示されます。
- [特定のユーザー]を選択し、[設定]をクリックしてユーザ名とパスワードを入力します。
- [OK]をクリックし、サイト接続を終了します。
- [Restart for Default Web Site (デフォルトの Web サイトの再起動)]をクリックします。
- [OK]をクリックします。
- を編集し、以下の行のコメントを解除します。install_path\Netflow\bin\netqosmy.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pem
- これらの行のすべての出現箇所を編集します。*.pemファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
- を編集します。install_path\DBUsers\ReporterAnalyzer.ini
- requireSSLが false に設定されている箇所は、すべて true に設定します。
- keystoreプロパティが以下に作成されたキーストアを指すようにしてください。CA Network Flow Analysis で使用する証明書を生成または設定する以下の例のように、すべてに同じ pkcs12 ストアを使用します。install_path/certs/nfa-console-keystore.pfx
- truststoreプロパティが以下に作成されたトラスト ストアを指すようにしてください。CA Network Flow Analysis で使用する証明書を生成または設定する以下の例のように、すべてに同じ pkcs12 ストアを使用します。install_path/certs/nfa-console-truststore.pfx
- keystore/truststorepassword プロパティを、その生成に使用されるパスワードに設定します。
- SslCaをinstall_path/certs/nfa-ca-cert.pemファイルに設定します。
- SslCertをファイルに設定します。install_path/certs/nfa-console-cert.pem
- SslKeyをファイルに設定します。install_path/certs/nfa-console-key.pem
- 以下のサービスをこの順序で再起動します。
- CA MySql
- NetQoS NQMySql
- CA NFA Harvester
- CA NFA Collection and Poller Webservices
- CA NFA Data Retention
- CA NFA DNS/SNMP Proxies
- CA NFA File Server
- CA NFA Poller
- CA NFA Reaper
分散システムでの TLS の有効化
以下の手順に従います。
Console で以下の手順を実行します。
- を編集し、以下の行のコメントを解除します。install_path\MySql\my.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pemこれらの行のすべての出現箇所を編集します。*.pemファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
- ReporterAnalyzerWebSite アプリケーション プール設定を変更します。
- インターネット インフォメーション サービス(IIS)マネージャを開き、[サイト]-[既定の Web サイト]を選択します。
- [操作]ペインの[基本設定]をクリックします。[サイトの編集]ウィンドウが表示されます。
- [テスト設定]をクリックして、サイト接続を確認します。正常に接続できたら、サイト接続を終了します。接続に失敗した場合は、以下の手順に従います(手順 d から手順 h)。
- [サイトの編集]ウィンドウで[接続...]をクリックします。[接続]ウィンドウが表示されます。
- [特定のユーザー]を選択し、[設定]をクリックしてユーザ名とパスワードを入力します。
- [OK]をクリックし、サイト接続を終了します。
- [Restart for Default Web Site (デフォルトの Web サイトの再起動)]をクリックします。
- [OK]をクリックします。
- サーバを再起動して、すべてのサービスを再起動します。
Harvester で、以下の手順を実行します。
- (または Linux ではinstall_path\MySql\my.inimy.cnf)を編集し、以下の行のコメントを解除します。require_secure_transport=truetls_version=TLSv1,TLSv1.1,TLSv1.2ssl-ca=install_path/certs/nfa-ca-cert.pemssl-cert=install_path/certs/nfa-harvester-cert.pemssl-key=install_path/certs/nfa-harvester-key.pemこれらの行のすべての出現箇所を編集します。*.pemファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
- (または Linux ではinstall_path\Netflow\bin\netqosmy.iniNetflow/my.cnf)を編集し、以下の行のコメントを解除します。require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-harvester-cert.pem ssl-key=install_path/certs/nfa-harvester-key.pemこれらの行のすべての出現箇所を編集します。*.pemファイルに適切な名前を使用し、許可しないバージョンを除外して TLS のバージョンを制限します。
- を編集します。install_path\DBUsers\ReporterAnalyzer.ini
- requireSSLが false に設定されている箇所は、すべて true に設定します。
- keystoreプロパティが以下に作成されたキーストアを指すようにしてください。CA Network Flow Analysis で使用する証明書を生成または設定する以下の例のように、すべてに同じ pkcs12 ストアを使用します。install_path/certs/nfa-harvester-keystore.pfx
- truststoreプロパティが以下に作成されたトラスト ストアを指すようにしてください。CA Network Flow Analysis で使用する証明書を生成または設定する以下の例のように、すべてに同じ pkcs12 ストアを使用します。install_path/certs/nfa-harvester-truststore.pfx
- keystore/truststorepassword プロパティを、その生成に使用されるパスワードに設定します。
- SslCaをinstall_path/certs/nfa-ca-cert.pemファイルに設定します。
- SslCertをファイルに設定します。install_path/certs/nfa-harvester-cert.pem
- SslKeyをファイルに設定します。install_path/certs/nfa-harvester-key.pem
- 以下のサービスをこの順序で再起動します。
- CA MySql
- NetQoS NQMySql
- CA NFA Harvester
- CA NFA Collection and Poller Webservices
- CA NFA Data Retention
- CA NFA DNS/SNMP Proxies
- CA NFA File Server
- CA NFA Poller
- CA NFA Reaper