OneClick のセキュア ソケット レイヤ用の設定

内容
casp1041
OneClick は、OneClick Web サーバと OneClick クライアント間の通信を暗号化するために、セキュア ソケット レイヤ(SSL)プロトコルをサポートしています。 OneClick クライアントは、インターネットなどの保護されていないネットワークを介して、情報に安全にアクセスすることができます。 暗号化に加えて、SSL は認証に証明書を使用します。 認証は、疑わしい、または「信頼されていない」ソースから、ユーザがアプリケーションをダウンロードして実行しないように保護するものです。
認証局が署名した証明書と自分が署名した証明書の両方によって、SSL 暗号化を使用した安全な接続が提供されます。 ただし、認証局が署名した証明書は、追加のレベルのセキュリティを提供します。 これらの証明書は、証明書の作成者を確認し、製品が本当にそのベンダーのものであることを証明します。 認証局が署名した証明書は、信頼できるエンティティ(認定されているベンダー)へのなりすましを困難にすることにより、サーバを保護します。 ただし、SSL 証明書によって提供され、証明書ソースの証拠を必要としない暗号化が必要な場合は、自己署名証明書が適しています。
DX NetOps Spectrum
10.3 にアップグレードした後、OneClick を SSL 用に設定すると、JKS を PKCS12 形式に移行するための警告メッセージが表示されます。 この警告は無視し、PKCS12 形式に移行しないでください。
DX NetOps Spectrum
10.3 にバンドルされている tomcat が機能するには、キーストア内に信頼された証明書が少なくとも 1 つ必要です。
以下の手順に従います。
  1. OneClick Web サーバ ホストで、
    $SPECROOT
    /Java/bin ディレクトリに移動します。
  2. 以下のコマンドを発行して、カスタム cacerts ファイル内にプライベート自己署名証明書を生成します。
    ./keytool -genkey -alias tomcatssl -keyalg RSA -keystore c:/win32app/Spectrum/custom/keystore/cacerts
    keytool は一連の質問を表示し、指定された値を使用して以下を実行します。
    • 組織の発行者名を作成します(この名前はインターネットにわたって一意となる X.500 識別名です)。 詳細については、http://java.sun.com にある keytool ユーティリティを参照してください。
    • 発行者名を使用して自己署名証明書を生成します。
      キーストアが $SPECROOT/custom/keystore に保存されていない場合は、アップグレード中に上書きされます。
  3. 以下の質問に対する回答を入力します。
    Enter keystore password:
    Tomcat Web サーバのデフォルト パスワードを変更する場合は、
    $SPECROOT
    /tomcat/conf/server.xml 設定ファイル内にカスタム パスワードを指定します。
    What is your first and last name?
    Web サイトの(完全修飾ドメイン名が付いた)共通名を入力します。 たとえば、www.ca.com と入力します。
    What is the name of your organizational unit?
    事業部、ビジネスユニット、部門など、小さな構成単位の名前を入力します。 たとえば、「購買部門」と入力します。
    What is the name of your organization?
    「ABCSystems 社」など、大きな組織名を入力します。
    What is the name of your City or Locality?
    ハイデラバードなどの都市名を入力します。
    What is the name of your State or Province?
    アンドラプラデシュなどのフル ネームを入力します。
    What is the two-letter country code for this unit?
    2 文字の国コードを入力します。 例: IN。
    Is CN=www.ca.com, OU=Purchasing, O="ABCSystems, Inc.", L=Hyderabad, ST=Andrapradesh, C=IN correct?
    Yes を入力します。
    Enter key password for <tomcatssl> (RETURN if same as keystore password):
    <tomcatssl> の鍵パスワードを入力します。 キーストア パスワードと同じパスワードを使って、Enter キーを押します。
    tomcatssl キーを追加した後、キーストアが破損している場合は、$SPECROOT/custom/keystore/cacerts ファイルのバックアップを取得してください。
  4. (オプション)認証局が署名した証明書が必要な場合は、認証局に証明書を要求して、証明書をインポートする必要があります。
    ベスト プラクティスとして、この手順(手順 4)を続ける前に、手順 5 にスキップして、SSL をセットアップします。 その後、前の手順で提供した情報が正しかったかどうかを判断するためテストを実行できます。 HTTPS が動作している場合は、この手順を続けることができます。
    証明書設定の一部として、安全な OneClick Web サーバを実行するシステムから、Certificate Signing Request (CSR)ファイルを生成します。 OneClick に付属の Java Development Kit (JDK)には、CSR ファイルの生成に使用できる keytool ユーティリティがあります。 前の手順で指定した情報を使用します。 tomcatssl と同じエイリアス名を使用します。
  5. 以下の手順で、認証局署名証明書を要求し、インポートします。
  6. OneClick Web サーバ ホストで、
    $SPECROOT
    /Java/bin ディレクトリに移動します。
    1. 以下のコマンドを入力して、CSR ファイルを生成します。
    ./keytool -certreq -alias tomcatssl -keystore $SPECROOT/custom/keystore/cacerts -file filename.csr
    パスワードの入力を求められます。 以前に指定したものと同じパスワードを使用します。生成された .csr ファイルの内容は、認証局にセキュア証明書を要求するために使用されます(次の手順)。
    認証局に証明書を要求する。 以下の例を検証します。
    VeriSign:http://www.verisign.com
    TrustCenter:http://www.trustcenter.de
    thawte:http://www.thawte.com
    手順はこれらの Web サイトで入手できます。
    OneClick Web サーバが使用するキーストアに認証局署名証明書をインポートします。 詳細については、「認証局署名証明書のインポート」を参照してください。
  7. OneClick Web サーバをホストするマシンでセキュア ソケットを設定します。 詳細については、「OneClick Web サーバ ホストでのセキュア ソケットの設定」を参照してください。
  8. レポート マネージャを実行している場合は、SSL を使用してレポート マネージャから OneClick を起動するよう設定します。 詳細については、「セキュア ソケット レイヤ用の OneClick およびレポート マネージャの設定」を参照してください。
認証局署名証明書のインポート
認証局署名 SSL 証明書を取得したら、OneClick Web サーバか使用するキーストアにインポートする必要があります。
キーストアには、認証局からのチェーン(ルート)証明書も存在する必要があります。 デフォルトでは、OneClick には一般的なベンダーのチェーン(ルート)証明書が多数含まれています。 これらの証明書のエイリアスを表示するには、[SSL 証明書]管理ページの[一覧]をクリックします。 この情報により、証明書を取得してインポートすべきかどうかを判断できます。
以下の手順に従います。
  1. 必要に応じて、署名証明書を取得した認証局からチェーン(ルート)証明書をダウンロードします。
  2. 前の手順でチェーン証明書をダウンロードした場合は、以下の手順で OneClick Web サーバが使用するキーストアにインポートします。
    1. OneClick Web サーバ ホストで、
      $SPECROOT
      /Java/bin ディレクトリに移動します。
    2. 以下のコマンドを入力します。
      ./keytool -import -alias root -keystore $SPECROOT/custom/keystore/cacerts -trustcacerts -file root_chain_certificate_filename
      Tomcat Web サーバのパスワードの入力を求められます。 エイリアス名は「root」である必要はありません。 インポートしているルート証明書のタイプには、よりわかりやすい名前を付けることができます。 あらかじめ存在しているエイリアス名は使用できません。
  3. 以下の手順で、OneClick Web サーバが使用するキーストアに認証局署名 SSL 証明書をインポートします。
    1. 必要に応じて、OneClick Web サーバ ホストで、
      $SPECROOT
      /Java/bin ディレクトリに移動します。
    2. 以下のコマンドを入力します。
      ./keytool -import -alias tomcatssl -keystore $SPECROOT/custom/keystore/cacerts -trustcacerts -file your_certificate_filename
      Tomcat Web サーバのパスワードの入力を求められます。 プライベート自己署名証明書の生成時と同じエイリアスを使用します。 詳細については、「名前解決の要件」を参照してください。
      keytool では、X.509 v1、v2、および v3 証明書、また、そのタイプの証明書で構成されている PKCS#7 形式の証明書チェーンをインポートできます。 CA からの証明書がこのタイプであることを確認してください。
(オプション)完全修飾でないドメイン名を使用したログイン
SSL セキュリティでは、ログインの際に OneClick サーバの完全修飾ドメイン名を使用するように求められます。 たとえば、
https://oneclick.ca.com/spectrum
です。 完全修飾でないドメイン名(たとえば、
https://oneclick/spectrum
)か、またはローカルの OneClick サーバ名とは異なる DNS エントリでログインするには、-ext オプションを指定した SAN (サブジェクト代替名)を使用します。
./keytool -genkey -alias tomcatssl -keyalg RSA -keysize 2048 -ext SAN=dns:oneclick -keystore c:/win32app/Spectrum/custom/keystore/cacerts
SSL が有効な場合の JVM 引数の変更
DX NetOps Spectrum
10.4 以降にアップグレードした後に、OneClick で SSL を有効にした場合、または OneClick のポートを変更した場合は、「OneClick Web アプリ」の「アップグレード後のタスク」で説明されている手順を実行します。
OneClick Web サーバ ホストでのセキュア ソケットの設定
OneClick Web サーバをホストするマシンでセキュア ソケットを設定します。 このタスクを SSL 用の OneClick Web サーバの設定における最終手順と見なします。
DX NetOps Spectrum
では、SSL v3 の使用がサポートされています。
以下の手順に従います。
  1. OneClick Web サーバをシャットダウンします。
  2. 好みのテキスト エディタで、$SPECROOT/tomcat/conf/server.xml を開きます。
  3. server.xml ファイル内で以下のセクションを探します。
    <!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 --> <!-- <Connector port="8443" enableLookups="true" disableUploadTimeout="true" tcpNoDelay="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256" keystoreFile="custom/keystore/cacerts" keystorePass="changeit"> </Connector> -->
    デフォルトでは、このセクションの <Connector> エレメントはコメントアウトされています。
    前の XML フラグメントは、Windows 専用です(OneClick Web サーバが SSL 通信をリスンするデフォルト ポートとして 443 を使用します)。 エンド ユーザは、OneClick ホーム ページにアクセスするための URL から以下のようにポートを除外できます。
    https://<fully_qualified_host_name>/spectrum
    UNIX ベースのインストールでは、OneClick Web サーバは root として実行されず、デフォルト ポートは 8443 です(1024 より大きい必要があるため)。 そのため、エンド ユーザは、OneClick ホーム ページにアクセスするための URL を入力する際に、以下のように Web ブラウザでポート番号を指定する必要があります。
    https://<fully_qualified_host_name>:8443/spectrum
  4. Connector 定義のまわりのコメントを削除します。 以下のアクションを実行します。
    1. <Connector に先行する行から「<!--」を削除します。
    2. セクション末尾(</Connector> の後)から「-->」を削除します。
  5. keystoreFile 属性の値の <
    SPECROOT
    > 変数を、
    DX NetOps Spectrum
    がインストールされているディレクトリの完全修飾パスに置き換えます。 keytool コマンド用の cacerts ファイルを使用して、証明書を生成することができます。 以下の例を検証します。
    • Windows
      C:/win32app/SPECTRUM/custom/keystore/cacerts
    • UNIX
      /usr/SPECTRUM/custom/keystore/cacerts
  6. server.xml ファイルを保存し、閉じます。
  7. DX NetOps Spectrum
    が CA Performance Center と統合されている場合は、以下の手順に従って、SSL 対応 OneClick と CA Performance Center の間の通信を有効にします。
    1. 「$SPECROOT/tomcat/webapps/axis2/WEB-INF/conf」の「axis2.xml」ファイルをエディタで開きます。
    2. axis2.xml 内で以下のセクションを探します。
      <transportReceiver name="http" class="org.apache.axis2.transport.http.AxisServletListener"> <parameter name="port">8080</parameter> </transportReceiver>
    3. このセクションを以下のように変更します。
      <transportReceiver name="https" class="org.apache.axis2.transport.http.AxisServletListener"> <parameter name="port">8443</parameter> </transportReceiver>
      HTTP および HTTPS の両方を設定する必要がある場合は、以下の例のように、axis2.xml にポート番号を明示的に設定する必要があります。
      <transportReceiver name="http" class="org.apache.axis2.transport.http.AxisServletListener"> <parameter name="port">8080</parameter> </transportReceiver> <transportReceiver name="https" class="org.apache.axis2.transport.http.AxisServletListener"> <parameter name="port">8443</parameter> </transportReceiver>
  8. OneClick Web サーバを起動します。
    SSL および設定のパラメータの設定に関する指示を検索できます。 詳細については、http://tomcat.apache.org/tomcat-9.0-doc/ssl-howto.html を参照してください。
セキュア ソケット レイヤ用の OneClick およびレポート マネージャの設定
レポート マネージャを実行しており、セキュア ソケット レイヤ(SSL)プロトコルを使用して OneClick クライアントと OneClick Web サーバ間の通信を暗号化するように OneClick を設定した場合は、SSL を使用してレポート マネージャから OneClick を起動するよう設定する必要もあります。
Report Manager を使用して、
DX NetOps Spectrum
が管理するネットワーク資産のインベントリ、パフォーマンス、変更履歴、および障害履歴のレポートを作成できます。 詳細については、「Report Manager」を参照してください。
以下の手順に従います。
  1. 以下のファイルに対する書き込み権限を有効にします。
    <$SPECROOT>\tomcat\webapps\spectrum\repmgr\js\repmgr.js
  2. 前の手順で変更したファイルを開き、launchOneClick ファンクションを探します。
  3. launchOneClick 機能で、次の行を探します。
    url = "http://"+servername+contextApp+"/oneclick.jnlp";
  4. 「http」を「https」に変更します。
    url = "https://"+servername+contextApp+"/oneclick.jnlp";
  5. ファイルを保存して閉じます。
    このファイルはアップグレード中に上書きされます。 アップグレードの後にこの手順を繰り返してください。
特定のレポートのコンテキスト(アセット レポートにリスト表示されたデバイスのコンテキストなど)で、OneClick を起動できます。 ただし、このタイプの起動では SSL を使用するように設定できません。
10.3 にアップグレードした後 https を使用して OneClick に接続できない
症状:
DX NetOps Spectrum
10.3 にアップグレードした後、https 接続を使用して OneClick に接続できません。
この問題は、PKCS12 形式への JKS の移行が原因で発生します。 SSL キーを生成した後、JKS を PKCS12 形式に移行することを推奨する以下のメッセージが表示されます。
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS 12 which is an industry standard format using "keytool -importkeystore -srckeyst ore c:/win32app/SPECTRUM/custom/keystore/cacerts -destkeystore c:/win32app/SPECT RUM/custom/keystore/cacerts -deststoretype pkcs12".
解決方法:
この警告メッセージを無視することをお勧めします。PCKS12 形式には移行しないでください。 すでに移行している場合は、移行中にバックアップしたキーストアに置き換え、Tomcat を再起動します。
以下の手順に従います。
  1. th を生成する場合
SSL 用に設定されている OneClick Web へのログイン時のエラー
症状:
SSL 用に
DX NetOps Spectrum
OneClick サーバを設定した後に、ブラウザ(Chrome、FireFox、IE、または Safari)から接続しようとするとエラーがスローされます。
このエラーは、OneClick サーバで、ブラウザをポイントするために使用されている URL が原因で発生します。 URL に、OneClick サーバ キーストアに追加された証明書の生成に使用された、一致しない IP アドレスまたはホスト名のいずれかが含まれています。 または、DNS ルックアップが正しい名前/IP に解決していません。
解決方法:
以下の手順に従います。
  1. プライベートの自己署名証明書を生成する際に、以下のコマンドを使用します。
    ./keytool -genkey -alias tomcatssl -keyalg RSA -keystore $SPECROOT/custom/keystore/cacerts
    このコマンドでは多くの質問が尋ねられます。その 2 番目は「
    姓名を入力してください
    」です。
    これは、OneClick サーバの共通名(単一のホスト名)または FQDN を表します。 そのため、ブラウザでログインする際に、HTTPS 接続が機能し、ブラウザによって証明書が検証されるように、URL でこのホスト名(IP アドレスではなく)を参照する必要があります。
  2. CA によって署名された証明書をインポートします。
    $SPECROOT/Java/bin> ./keytool -import -alias tomcatssl -keystore $SPECROOT/custom/keystore/cacerts -trustcacerts -file <PATH>/<FILENAME.cer>
  3. キーストアのパスワードを入力します。 キーストアに証明書の返信がインストールされています。 DNS が OneClick サーバのホスト名を解決しない場合、DNS の問題を回避するために、hosts ファイル(Windows の場合: ~\win32\drivers\etc\hosts、Linux の場合: /etc/hosts)を変更して、OneClick サーバの単一のホスト名と FQDN ホスト名の両方を含めます。 次にブラウザで、以下を使用して、OneClick サーバの URL をターゲットにします。
    https://<HOSTNAME>:443/spectrum
SSL を使用した OneClick クライアントから安全な OneClick Web サーバへの接続に関するエラー
症状:
SSL を使用して OneClick クライアントから安全な OneClick Web サーバに接続しようとしたときにエラーが発生しました。
解決方法:
以下を確認してください。
  • OneClick Web サーバが動作しているホストの完全修飾ドメイン名が、認証に使用するセキュリティ証明書に署名するために生成したプライベート キーで指定されたこと。 キーの生成時に、「あなたの姓名は何ですか ?」というプロンプトに対して完全修飾ドメイン名を入力する必要がありました。
  • 認証局のチェーン(ルート)証明書
    および
    セキュリティ証明書の両方が、安全な OneClick Web サーバのカスタム ディレクトリにある cacerts ファイルにインポートされたこと。
SSL を使用してレポート マネージャから OneClick クライアントを起動する際のエラー
症状:
SSL を使用してレポート マネージャから OneClick クライアントを起動する際にエラーが発生しました。
解決方法:
「セキュア ソケット レイヤ用の OneClick およびレポート マネージャの設定」で説明されている設定手順を完了していることを確認してください。