TLS v1.2 のサポート(Microsoft SQL Server)

CA UIM は、CA UIM データベース(Microsoft SQL Server)と通信するときにトランスポート レイヤ セキュリティ(TLS) v1.2 をサポートします。 このサポートにより、UIM サーバが、UIM データベースとセキュアな通信を確立することができます。 Microsoft SQL Server の TLS v1.2 サポートを有効にするには、Microsoft SQL Server コンピュータ(データベース サーバ)および UIM サーバ(クライアント コンピュータ)に必要な設定を実行する必要があります。
uim902
CA UIM は、UIM データベース(Microsoft SQL Server)と通信するときにトランスポート レイヤ セキュリティ(TLS) v1.2 をサポートします。 このサポートにより、UIM サーバが、UIM データベースとセキュアな通信を確立することができます。 Microsoft SQL Server の TLS v1.2 サポートを有効にするには、Microsoft SQL Server コンピュータ(データベース サーバ)および UIM サーバ(クライアント コンピュータ)に必要な設定を実行する必要があります。
以下の Microsoft SQL Server バージョンがサポートされています。
  • 2012
  • 2014
  • 2016
  • 2017
以下の図は、プロセスの概要を示しています。
Microsoft SQL Server TLS 1.2 のサポート
Microsoft SQL Server TLS 1.2 Support
  • Microsoft SQL Server 2017 では、CABI はサポートされていません。
  • cabi 4.10 プローブは、UIM データベース(Microsoft SQL Server 2012、2014 および 2016)と通信するときに、TLS v1.2 をサポートします。 ただし、Microsoft SQL Server 2012、2014、または 2016 が Windows Server 2016 上にインストールされており、TLS v1.2 が有効になっている場合、CABI はサポートされません。
  • UMP 9.0.2 HF2 で使用可能な cabi 3.40 プローブは、UIM データベース(Microsoft SQL Server 2012 および 2014)と通信するときに、TLS v1.2 をサポートします。 ただし、Microsoft SQL Server 2012 または 2014 が Windows Server 2016 上にインストールされており、TLS v1.2 が有効になっている場合、CABI はサポートされません。
    CABI TLS 機能に UMP 9.0.2 HF2 を適用する方法の詳細については、「UMP 9.0.2 HF2」を参照してください。
  • cabi 3.32 プローブは、UIM データベース(Microsoft SQL Server 2012、2014、2016、および 2017)と通信するときに、TLS v1.2 をサポートしません。 そのため、オペレータ コンソール ホーム ページ、OOTB CABI ダッシュボード、および OOTB CABI レポートを表示できません。
  • CA UIM 9.0.2 をインストールすると、TLS v1.2 サポートがデフォルトで無効になります。
データベース サーバ上での設定
データベース サーバ上で以下のタスクを実行します。
  1. FQDN 要件の確認
  2. Microsoft SQL Server のパッチの確認および適用
  3. 以前のバージョンの証明書の無効化
  4. データベース サーバへの証明書のインポート
  5. 証明書を使用するための SQL Server 権限の付与
  6. データベース サーバ上での暗号化の有効化
  7. データベース サーバ上の証明書のエクスポート
FQDN 要件の確認
フル コンピュータ名が FQDN (例: VI02-E74.ca.com)であることを確認します。 FQDN でない場合は、コンピュータ名にドメイン名(ca.com など)を追加します。
以下の手順に従います。
  1. コンピュータのプロパティ パネルにアクセス(例: デスクトップの[PC]アイコンを右クリックして
    [プロパティ]
    を選択)します。
  2. 左ペインで、
    [システムの詳細設定]
    をクリックします。
  3. [コンピューター名]
    タブをクリックします。
  4. [変更]
    をクリックします。
  5. [詳細...]
    をクリックします。
  6. [このコンピュータのプライマリ DNS サフィックス]
    フィールドにドメイン名を入力します。
  7. [OK]
    をクリックしてコンピュータを再起動します。
  8. フル コンピュータ名が FQDN になったことを確認します。
以下のスクリーンショットの例では、フル コンピュータ名は FQDN です。
FQDN.jpg
Microsoft SQL Server のパッチの確認および適用
デフォルトで TLS v1.2 に対するサポートを提供しない Microsoft SQL Server のバージョンについては、「Microsoft SQL Server 用の TLS 1.2 のサポート」の情報に従います。 この記事にある指示に従うことで、Microsoft SQL Server のバージョンに応じて、必要なパッケージをダウンロードして適用できます。 デフォルトで TLS v1.2 をサポートしている Microsoft SQL Server のバージョン(2016 など)については、この手動プロセスを実行する必要はありません。
以前のバージョンの証明書の無効化
データベース サーバの以前のバージョンのすべての証明書を無効にするように、レジストリ キーを変更します。 データベース サーバ上で以下のレジストリ キーを確認します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
クライアントとサーバのエントリについては、以下の DWord および値のエントリを入力します。
  • DisabledByDefault=00000000
  • Enabled=00000001
詳細については、「TLS/SSL Settings」の「TLS 1.2」セクションを参照してください。
データベース サーバへの証明書のインポート
(認証局に承認された証明書の場合)データベース サーバに、認証局に承認された証明書をインポートするには、IIS (Internet Information Services)を使用します。 必要な証明書が使用可能であることを確認します。
IIS がデータベース サーバ上にインストールされていない場合、インストールします。
以下の手順に従います。
  1. [スタート]メニューの[ファイル名を指定して実行]をクリックして、「inetmgr」と入力して IIS を開きます。
  2. <server_name>
    をクリックします。
  3. 以下のスクリーンショットの例のように、
    サーバ証明書
    を見つけて、ダブルクリックします。
    IIS.jpg
  4. 右ペインを右クリックし、コンテキスト メニューから[
    インポート
    ]を選択します。
    証明書のインポート
    ]ダイアログ ボックスが表示されます。
  5. 証明書ファイルがある場所に移動します。
  6. 必須のパスワードを入力します。
  7. [OK]
    をクリックします。
証明書は、データベース サーバにインポートされます。 以下のスクリーン ショットの例は、インポートされた証明書です。
Certificate.jpg
証明書を使用する場合、証明書は、ホスト名ではなくコンピュータの FQDN (完全修飾ドメイン名)に対して発行する必要があります。 さらに、データベース サーバ名も FQDN である必要があります。 証明書とサーバ名の両方が FQDN でない場合は、接続の問題が発生します。
自己署名証明書の場合、上記で説明したインポート手順は必要ありません。 IIS を使用して自己署名証明書を作成する場合は、それらは IIS で使用できるようになります。 そのため、このインポート プロセスを実行する必要がありません。
IIS の使用による自己署名証明書の作成
IIS を使用して自己署名証明書を作成する場合は、以下の手順を確認してください。
  1. フル コンピュータ名が FQDN (例: sa-01.ca.com)であることを確認します。 FQDN でない場合は、「システム要件」セクションに記載されている手順に従います。
  2. [スタート]メニューの[ファイル名を指定して実行]をクリックして、「inetmgr」と入力して IIS を開きます。
  3. <server_name>
    をクリックします。
  4. サーバ証明書
    ]を探して、ダブルクリックします。
  5. 右ペインで右クリックし、コンテキスト メニューの[自己署名証明書の作成]を選択します。
  6. 証明書に FQDN 名を入力します(例:
    <computer_name>
    .ca.com)。
  7. [OK]
    をクリックします。
自己署名証明書が作成され、[
サーバ証明書
]ペインに一覧表示されます。
証明書を使用するための SQL Server 権限の付与
証明書を使用するには、SQL サーバ権限を指定する必要があります。 このタスクを実行するには、SQL Server 構成マネージャおよび Microsoft Management Console を使用します。
以下の手順に従います。
  1. SQL Server Configuration Manager を開きます。
  2. 左ペインで
    [SQL Server のサービス]
    を探し、選択します。
  3. 右ペインで[SQL Server インスタンス]を選択します。
  4. SQL Server インスタンスを右クリックし、以下のスクリーンショットに示すように、コンテキスト メニューからの[
    プロパティ
    ]を選択します。
    SQLServerAccess.jpg
  5. [アカウント名]
    フィールドに表示されたアカウント名のエントリをコピーします。
  6. Microsoft Management Console (MMC)を開きます。
  7. [ファイル]-[スナップインの追加と削除]
    をクリックします。
  8. [証明書]
    をクリックします。
  9. 以下のスクリーンショットの例のように、[
    追加
    ]をクリックします。
    MMC_Access.jpg
  10. [コンピューター アカウント]
    を選択します。
  11. 次へ
    ]をクリックします。
  12. ローカル コンピュータ オプションを選択します。
  13. [完了]
    をクリックします。
  14. [OK]
    をクリックします。
  15. 証明書を検索し、選択します。
  16. 証明書を右クリックし、コンテキスト メニューから
    [すべてのタスク]-[秘密キーの管理]
    を選択します。
  17. コピーしたアカウント名を追加します。
  18. アカウント名に読み取りアクセスを付与します。
データベース サーバ上での暗号化の有効化
データベース サーバ上で暗号化を有効にするには、SQL Server Configuration Manager を使用します。
以下の手順に従います。
  1. SQL Server Configuration Manager を開きます。
  2. [SQL Server ネットワークの構成]
    を探して展開します。
  3. <SQL_Server>
    のプロトコル
    を右クリックして、以下のスクリーンショットの例のように、コンテキスト メニューから
    [プロパティ]
    を選択します。
    Enable_Encryption_DB.jpg
  4. [証明書]
    タブをクリックします。
  5. [証明書]
    ドロップダウン リストから、必要な証明書を選択します。
  6. [フラグ]
    タブをクリックします。
  7. 以下のスクリーンショットの例のように、[
    強制的に暗号化
    ]オプションに[
    はい
    ]を選択します。
    Forced Encryption.jpg
  8. [OK]
    をクリックします。
  9. SQL Server サービスを再起動します。
証明書のデータベース サーバ上で、暗号化が有効になります。
データベース サーバ上の証明書のエクスポート
(自己署名証明書の場合)UIM サーバ(ここではクライアント)が使用できるように、データベース サーバ上の自己署名証明書をエクスポートします。 UIM サーバ(クライアント)では、データベース サーバ上にある証明書を信頼する必要があります。
証明書ファイルはすでに利用可能であるため、認証局に承認された証明書の場合は、このタスクを実行する必要はありません。
以下の手順に従います。
  1. Microsoft Management Console (MMC)を開きます。
  2. [ファイル]-[スナップインの追加と削除]
    をクリックします。
  3. [証明書]
    をクリックします。
  4. 追加
    ]をクリックします。
  5. [コンピューター アカウント]
    を選択します。
  6. 次へ
    ]をクリックします。
  7. ローカル コンピュータ オプションを選択します。
  8. [完了]
    をクリックします。
  9. [OK]
    をクリックします。
  10. 証明書を見つけます。
  11. 証明書を右クリックし、以下のスクリーンショットに示すように、コンテキスト メニューから
    [すべてのタスク]-[エクスポート]
    を選択します。
    All_Tasks_Export.jpg
  12. 証明書のエクスポート ウィザードの
    [次へ]
    をクリックします。
  13. Base-64 encoded X.509 (.CER)
    に必要な選択に従い、エクスポートされたファイルを保存する場所を指定します。 場所は、UIM サーバ(クライアント コンピュータ)にアクセス可能である必要があります。
自己署名証明書が UIM サーバにアクセス可能であるデータベース サーバ上の場所に正常にエクスポートされます。
UIM データベース サーバが、TLS v1.2 をサポートするように正常に設定されました。
UIM サーバ上での設定
クライアント(UIM サーバ)上で以下のタスクを実行します。
  1. UIM サーバでの証明書のインポート
  2. サーバ証明書の Java キーストアの作成
  3. UIM Server のインストール
UIM サーバでの証明書のインポート
UIM サーバ(クライアント コンピュータ)上の証明書をインポートします。 この手順は、UIM サーバが、データベース サーバ上で使用可能な証明書を信頼できるようにするために必要です。 UIM サーバの信頼されたルート証明機関証明書ストアに証明書をインポートする必要があります。
以下の手順に従います。
  1. Microsoft Management Console (MMC)を開きます。
  2. [ファイル]-[スナップインの追加と削除]
    をクリックします。
  3. 証明書
    ]を選択し、[
    追加
    ]をクリックします。
  4. [コンピューター アカウント]
    を選択します。
  5. ローカル コンピュータ オプションを選択します。
  6. [完了]
    をクリックします。
  7. [OK]
    をクリックします。
  8. 証明書(ローカル コンピュータ)
    ]をクリックします。
  9. 信頼されたルート証明機関
    ]フォルダに移動します。
  10. 信頼されたルート証明機関
    ]フォルダを右クリックし、以下のスクリーンショットのように、コンテキスト メニューから
    [すべてのタスク]-[インポート]
    を選択します。
    All_Tasks_Import.jpg
  11. 証明書のインポート ウィザードの[
    次へ
    ]をクリックします。
  12. 参照
    ]をクリックし、証明書ファイルを保存した場所に移動します。
  13. 次へ
    ]をクリックします。
  14. 信頼されたルート証明機関
    ]がすべての証明書を格納する場所として選択されていることを確認します。
  15. [完了]
    をクリックします。
  16. [OK]
    をクリックします。
証明書は、信頼された証明書として、UIM サーバ(クライアント コンピュータ)でインポートされます。
証明書は、CABI が使用可能なロボットにもインポートする必要があります。 インポート後、CABI を非アクティブ化してからアクティブ化します。
サーバ証明書の .jks ファイルを作成する
サーバ証明書を格納する UIM サーバ上で .jks ファイル(Java KeyStore ファイル)を作成する必要もあります。 .jks ファイルを作成すると、データベース サーバの証明書が含まれます。 キーと証明書の管理ツールである Java keytool を使用すると、.jks ファイルを生成できます。 このツールでは、キーストアと呼ばれるストアにキーおよび証明書が格納されます。
UIM Server のインストール中に生成される .jks ファイルの場所を指定します。 UIM Server インストーラは、インストール中に指定した場所にある .jks ファイルを <Nimsoft>\security フォルダに配置します。 次に、インストーラはコピーしたファイルの名前を truststore.jks に変更します。
以下の手順に従います。
  1. JRE (jre1.8.0)がコンピュータにインストールされていることを確認します。
  2. PATH
    環境変数で、
    C:\Program Files\Java\jre1.8.0_131\bin;
    など、JRE の場所を指定します
  3. .jks ファイルを生成するには、.cer 証明書を使用して次のコマンドを実行します。
    構文:
    keytool -import -alias <alias_name> -file <certificate_file> -keystore <jks_filename> -storepass <password>
    例:
    C:\keytool -import -alias sa-01.ca.com -file sa-01.ca.com.cer -keystore sa-01.ca.com.jks -storepass [email protected]
  4. 証明書を信頼するかどうかが表示されたら、「
    yes
    」と入力します。
    .jks ファイルが作成されます。
このコマンドは、以下のオプションを使用します。
  • -file
    元の証明書ファイルが利用可能な場所を指定します。
  • -keystore
    コマンドが正常に実行されるときに作成される .jks ファイルを保存する場所を指定します。
  • -storepass
    .jks ファイルのパスワードを指定します。
  • -alias
    エイリアス名を指定します。ここでは、データベース サーバ名(FQDN)です。
ご使用の CA で .p12 ファイルが提供されている場合は、次のコマンドを実行して .jks ファイルにインポートできます。
構文:
keytool -importkeystore -srckeystore <certificate_filename> -srcstoretype <type> -srcstorepass <password> -destkeystore <jks_filename> -deststorepass <password> -alias <alias_name>
例:
C:\keytool -importkeystore -srckeystore sa01-i185.ca.com.p12 -srcstoretype PKCS12 -srcstorepass [email protected] -destkeystore sa01-i185.ca.com.jks -deststorepass [email protected] -alias sa01-i185.ca.com
このコマンドは、以下のオプションを使用します。
  • -srckeystore
    自己署名証明書ファイルまたは認証局で承認された証明書ファイルが利用可能な場所を指定します。
  • -srcstoretype
    ソース タイプを指定します。
  • -srcstorepass
    元の証明書ファイルに関連付けられているパスワードを指定します。
  • -destkeystore
    コマンドが正常に実行されるときに作成される .jks ファイルを保存する場所を指定します。
  • -deststorepass
    .jks ファイルのパスワードを指定します。
  • -alias
    エイリアス名を指定します。ここでは、データベース サーバ名(FQDN)です。
  • 証明書名とデータベース サーバ名は FQDN である必要があります。
  • CABI 外部バージョン 3.4 をセカンダリ ロボットに展開する前に、Java キーストア ファイル(truststore.jks)ファイルを UIM Server (<Nimsoft>\security)から、CABI 外部セカンダリ ロボット(<Nimsoft>\security)へコピーします。
UIM Server のインストール
このセクションにリストされているすべてのタスクを実行した後は、その他のインストール前の計画タスクを確認します。 その後、UIM サーバのインストールを開始できます。 インストール中に、TLS v1.2 オプションを有効にして、必要な情報を指定する必要があります。 UIM Server インストーラは自動的に、インストール中に、コンピュータに必要なドライバ(SQLNCLI11)をインストールします。 また、.jks ファイルについては、.jks ファイルを作成した場所を参照します。 インストーラは、
<Nimsoft>\security
フォルダにこのファイルを truststore.jks として保存します。
UIM Server のインストールの詳細については、「UIM Server のインストール」および「インストール パラメータ」を参照してください。 以下のスクリーンショットは、UIM Server のインストール時の TLS v1.2 オプション([
TLS の有効化
]、[
信頼ストア パス
]、および[
信頼ストア パスワード
])を示しています。
TLS options in installer.jpg
TLS v1.2 関連のオプションは以下のとおりです。
  • TLS の有効化:
    CA UIM で TLS v1.2 を有効にするオプションを選択します。これにより、UIM Server が、UIM データベース(この場合は、Microsoft SQL Server)とセキュアな通信を確立できます。
  • 信頼ストア パス:
    生成された .jks ファイルの場所を指定します。 UIM Server インストーラは、インストール中に指定した場所にある .jks ファイルを
    <Nimsoft>\security
    フォルダに配置します。 次に、インストーラはコピーしたファイルの名前を
    truststore.jks
    に変更します。 このファイルにはデータベース サーバの証明書が含まれます。
  • 信頼ストア パスワード:
    ソース .jks ファイルにアクセスするためのパスワードを指定します。
正常に TLS v1.2 サポートが有効にされ、UIM データベース(Microsoft SQL Server)とセキュアな通信ができるようになりました。
追加情報
以下の追加情報を確認します。
  • アップグレード シナリオおよび、UIM サーバのインストール後に TLS v1.2 サポートを有効にする場合では、UIM サーバ上で以下のタスクを実行します。
    1. 必要に応じて、必要なドライバ(SQLNCLI11)を確認し、インストールします。
      詳細については、「Microsoft SQL Server 用の TLS 1.2 のサポート」の「クライアント コンポーネントのダウンロード」の情報に従います。
    2. 信頼された証明書として、サーバ証明書をインポートします。
    3. Java KeyStore を作成します。
    4. TLS v1.2 関連のパラメータを設定するには、data_engine のアドミン コンソールまたはインフラストラクチャ マネージャを使用します。 .jks ファイルの場所を指定する場合は、.jks ファイルを作成した場所を参照します。
      [適用]
      または
      [OK]
      をクリックすると、.jks ファイルは
      <Nimsoft>\security
      フォルダに truststore.jks としてコピーされます。 その後、[
      信頼ストア ファイル(.jks)
      ]フィールドにこの場所が表示されます。
      [テスト接続]
      オプションをクリックすると、CA UIM では指定した .jks ファイルの妥当性は検証されません。 代わりに、UIM Server 上で Microsoft Management Console (MMC)にインポートした証明書の妥当性を検証します。
      オプションを指定したら、data_engine プローブを再起動します。 data_engine プローブが、TLS v1.2 をサポートするように正常に設定されました。 他のプローブを展開したり、UIM データベース(Microsoft SQL Server)と通信する際に、セキュアな通信を使用したりできるようになりました。 また、影響を受けるプローブおよびパッケージのリストを確認します。 TLS v1.2 をサポートするため、これらのアイテムが更新されました。 TLS v1.2 環境で動作させる場合には、これらのアイテムの最新バージョンを使用してください。
      アドミン コンソールで TLS v1.2 設定オプションを表示するには、ppm プローブ バージョンが 3.48 で、ロボット バージョンが 7.96 であることを確認します。 そうでない場合、TLS v1.2 オプションは、アドミン コンソールに表示されません。
      以下のスクリーンショットは、アドミン コンソールの TLS v1.2 設定オプション([
      TLS の有効化
      ]、[
      信頼ストア ファイル(.jks)
      ]、[
      信頼ストア パスワード
      ]、[
      Always Trust Server Certificate (常にサーバ証明書を信頼する)
      ])を示しています。
      SQL_Server_AC_TLS_Options.jpg
  • アップグレード シナリオでは、すべてのコンポーネントに対して CA UIM システムで TLS v1.2 を有効または無効にすることができます。部分的な TLS v1.2 対応のシステムにすることはできません。 つまり、レイヤをまたがるすべてのインフラストラクチャ コンポーネント(プライマリ ハブ、セカンダリ ハブ、プローブなど)は、TLS v1.2 がサポートされているバージョンにアップグレードする必要があります。
  • data_engine の UI を設定することにより、TLS v1.2 モードを有効または無効にできます。 また、TLS v1.2 モードが変更されるたびに、data_engine の再起動が必要です。
  • CA UIM の以前のバージョンからこのバージョンにアップグレードする場合、システムの状態は非 TLS v1.2 モードのままです。 TLS v1.2 モードを有効にするには、上で説明したすべての必要な手動の手順を実行し、data_engine の UI を使用して、TLS v1.2 を有効にします。
  • 証明書を更新する場合(たとえば、古い証明書が期限切れになった場合)、新しい .jks ファイルを作成し、data_engine の UI でその .jks ファイルの場所とパスワードを指定します。 data_engine プローブは、その情報を使用して、同じ
    <Nimsoft>\security
    フォルダに TrustStore .jks ファイルを作成します。
  • TLS v1.2 環境でリモート コンピュータ(プライマリ ハブ以外)上で動作するプローブを実行するには、リモート コンピュータ上に必要なドライバ(SQLNCLI11)をインストールします。 詳細については、「Microsoft SQL Server 用の TLS 1.2 のサポート」の「クライアント コンポーネントのダウンロード」の情報に従います。
  • TLS v1.2 に対応した環境でデータベース接続に問題が発生する場合、最も可能性の高い原因は、証明書に FQDN が使用されていないことです。
TLS v1.2 向けに更新されたプローブおよびパッケージ
TLS v1.2 環境で動作できるように、以下のアイテムに対し、TLS v1.2 関連の更新が行われました。
  • ace 9.03
  • alarm_routing_service 10.20
  • apmgtw 3.20
  • audit 9.03
  • axagateway 1.32
  • cisco_ucm 2.00
  • cm_data_import 9.02
  • data_engine 9.02
  • discovery_agent 9.02
  • discovery_server 9.02
  • ems 10.20
  • hub 7.96
  • maintenance_mode 9.02
  • mon_config_service 9.02
  • mpse 9.03
  • nas 9.03
  • nis_server 9.03
  • qos_processor 9.02
  • robot 7.96
  • sla_engine 9.02
  • telemetry 1.20
  • trellis 9.02
  • udm_manager 9.02
  • usage_metering 9.11
  • wasp 9.02
  • webservices_rest 9.02
トラブルシューティング
以下のトピックは、TLS v1.2 に関連するいくつかの問題のトラブルシューティングに役立ちます。
TLS v1.2 を有効にすると、data_engine の開始に失敗する
現象:
TLS v1.2 モードを有効にした後、data_engine を開始しようとすると、以下の接続エラーが表示されます。
May 1 10:10:21:897 [4068] 0 de: [main] Open - 3 errors
May 1 10:10:21:897 [4068] 0 de: (1) Open [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 0 de: (2) Open [Microsoft SQL Server Native Client 11.0] SSL Provider: The target principal name is incorrect.
May 1 10:10:21:897 [4068] 0 de: (3) Open [Microsoft SQL Server Native Client 11.0] Client unable to establish connection
May 1 10:10:21:897 [4068] 0 de: COM Error [0x80004005] Unspecified error - [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 1 de: Database script - processing 3 database scripts
この問題を解決するには、以下を実行します。
解決策:
データ ソースの data_engine 設定でデータベース サーバの接続に FQDN を使用していますが、証明書が FQDN で作成されていません。 このようなシナリオでは、証明書の検証が失敗します。 データベース サーバ名と証明書の両方が FQDN を使用していることを確認します。
Microsoft SQL Server の自己署名 SSL 証明書が検証できない
現象:
ローカル キーストアの自己署名証明書を使用しても、次のエラーが表示されます。
2018-04-30 15:12:15,379 ERROR
dbconfig.UIMServerDatabaseConfigBaseParamsPanel:processTestDBAccess:152 [AWT-EventQueue-0] -
Failed to connect to database server with provided field values. Recheck fields for accuracy.
The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer
(SSL) encryption. Error: "java.security.cert.CertificateException: Failed to validate the server
name in a certificate during Secure Sockets Layer (SSL) initialization.".
ClientConnectionId:89ef826a-2460-4faa-a1a8-d8aba2fc28f2 (501) , Failed to connect to database
server with provided field values. Recheck fields for accuracy.
この問題はどのように解決できますか。
解決策:
この問題は、最初のトラブルシューティング トピック「TLS v1.2 を有効にすると、data_engine の開始に失敗する」の説明と同じです。 そのため、同じ解決策を実行して、データベース サーバ名と証明書で FQDN を使用するようにします。