アドミン コンソールまたは OC での HTTPS の設定(証明機関の署名付き証明書)

uim203
この記事では、SSL (Secure Sockets Layer)接続を設定して、HTTPS を使用してオペレータ コンソールまたはアドミン コンソールにアクセスする方法について説明します。この説明では、証明機関の署名付き証明書を設定する手順を示します。
目次
ネットワーク セキュリティ エンジニアおよびコンプライアンスの専門家に、自社のセキュリティ要件について確認することをお勧めします。通常、業界標準のセキュリティ要件に準拠するには、信頼されていないネットワークでのクライアント サーバ通信に対して SSL 暗号化を使用することが必須となります。これには、以下の状況が含まれます。
  • ユーザがインターネットなどのパブリック ネットワークを使用してオペレータ コンソールまたはアドミン コンソールにアクセスする場合
  • セッションが、会議室やパブリック アクセス エリアのワイヤレス ネットワークなど、使用するネットワーク内の保護されていない部分を通過する場合
  • セッションがモバイル ネットワークを通過する場合
高いセキュリティが要求される環境では、少なくとも 2048 ビット暗号化を使用することをお勧めします。ただし、長い RSA キーを使用すると、暗号化および復号化の速度に大きな影響があります。
前提条件
続行する前に次の前提条件を確認します。
  • インフラストラクチャ マネージャへのアクセス権を持つ管理者ユーザで実行します。
  • 1024 ビット自己署名付き証明書以外の証明書を使用する場合は、keytool コマンドを実行できるように環境が設定されていること。これは、$PATH システム変数に java.exe と keytool のパスが含まれていることを意味します。
  • 一部のオペレーティング システムでは、セキュリティ ポリシーにより keytool コマンドを管理者として実行する必要があります。
    Windows システムで keytool コマンドを実行して、予期しない結果になった場合は、
    [管理者として実行]
    オプションを使用します。
HTTPS リダイレクトおよびアドミン コンソール
アドミン コンソールは、HTTPS リダイレクトの使用をサポートしていません。
HTTPS://
URL を使用して、アドミン コンソールに直接アクセスする必要があります。また、アドミン コンソールの HTTP ポートを無効にすることもできます。
アドミン コンソールを使用して、wasp 設定を変更することもできます。ただし、wasp が再起動すると、自動的にアドミン コンソールからログアウトされます。
以下の手順に従います。
  1. リモート デスクトップを使用して、UIM または OC サーバに接続します。
  2. インフラストラクチャ マネージャを開きます。
  3. wasp プローブを実行しているロボットに移動します。
  4. Ctrl キーを押しながら wasp プローブを右クリックし、[
    RAW 設定
    ]を選択します。
  5. セットアップ
    セクションが強調表示された状態で
    http_port
    キーを選択し、
    [Delete Key]
    をクリックします。
証明機関の署名付き SSL 証明書の実装
このセクションでは、証明機関の署名付き SSL 証明書を実装する方法について説明します。
エンティティ、中間、およびルート証明書
多くの証明機関は、中間(
チェーン
)証明書を発行します。証明機関がチェーン証明書を発行する場合、一般に以下の証明書ファイルを受領します。
  • エンティティ
    証明書
  • 1 つ以上の
    中間
    証明書
  • ルート証明書が含められる場合があります
証明機関が提供するエンティティ証明書、およびすべての中間証明書をアップロードする必要があります。ルート証明書をアップロードする必要はありません。これは、UIM のインストール時に、多くの証明機関のルート証明書が含まれている Java Runtime Environment (JRE)が自動的にインストールされるためです。ただし、証明機関が新しいルート証明書を提供し、そのアップロードを推奨する場合があります。
UIM のインストール時に JRE と一緒に自動的にインストールされたルート証明書を表示できます。
以下の手順に従います。
  1. OC を実行しているサーバ上で、管理者コマンド プロンプトを開きます。
  2. 以下のコマンドでディレクトリを変更します。
    cd <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/lib/security
  3. 以下のコマンドを実行します。
    <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool keytool -list -keystore cacerts
    キーストア パスワードの入力を要求されます。有効なパスワードを入力すると、cacerts ファイル内のデフォルト ルート証明書が表示されます。
HTTPS を使用するための wasp の変更
オペレータ コンソールに対して HTTPS を設定している場合は、OC サーバ上の wasp プローブを変更します。アドミン コンソールに対して HTTPS を設定している場合は、UIM Server 上の wasp プローブを変更します。
実装する証明書にかかわらず、最初に必要な手順は HTTPS を有効にするために wasp.cfg ファイルを変更することです。この変更が有効になると、以下の処理が実行されます。
  • 証明書が格納される暗号化ファイル wasp.keystore ファイルが、
    <OC または UIM Server インストール>/UIM/probes/service/wasp/conf
    ディレクトリに生成されます。
  • 1024 ビット自己署名証明書が、wasp.keystore に自動的に生成されます。
自動的に生成された 1024 ビット自己署名証明書を使用する証明書に置き換える必要があります。
以下の手順に従います。
  1. リモート デスクトップを使用し、UIM サーバに接続します。
  2. インフラストラクチャ マネージャを開きます。
  3. wasp プローブを実行しているサーバに移動します。
  4. Ctrl キーを押しながら wasp プローブを右クリックし、[
    RAW 設定
    ]を選択します。
  5. セットアップ
    セクションが強調表示された状態で
    https_port
    キーを検索し、[
    Edit Key
    ]をクリックしてポートを指定します。必要な場合は[
    New Key
    ]をクリックして「
    https_port
    」と入力します。
    設定できるポートの最大値は 65535 です。
  6. https_max_threads
    キーを編集して、同時 https リクエスト数を設定します。デフォルト値は 500です。
    wasp プローブの再起動後に、wasp は HTTPS 接続を使用するように設定され、wasp.keystore ファイルが生成されます。このファイルは、<nimsoft_home>\probes\service\wasp\conf\wasp.keystore にあります。
(オプション) HTTPS 暗号の変更
必要であれば、wasp プローブで使用される暗号のリストをカスタマイズできます。
以下の手順に従います。
  1. wasp がインストールされているシステムに移動します。
  2. 以下の場所にある
    wasp.cfg
    ファイルに移動します。
    <OC または UIM server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  3. テキスト エディタで、
    wasp.cfg
    ファイルを開きます。
  4. https_ciphers
    キーを見つけます。デフォルトでは、https_ciphers キーはいくつかの値をリスト表示します。
  5. 目的の暗号を使用するために、https_ciphers キーを変更します。利用可能な暗号スイートのリストについては、SSL のドキュメントを参照してください。
  6. wasp プローブを再起動します。
wasp.keystore の再初期化
1024 ビット自己署名証明書を使用しておらず、
以下の条件が 1 つ以上該当する場合のみ
、以下の手順を実行してください。
  • wasp.keystore のパスワードを知らない。
  • HTTPS を使用するようにオペレータ コンソールを設定するのはこれが
    初めて
    である。
上記の記述のいずれにも当てはまらない場合は、「wasp と ssl_reintialize_keystore Callback」を確認してから続行します。
HTTPS を完全に設定するには、アドミン コンソールおよびオペレータ コンソールに対して関連付けられている wasp プローブを設定する必要があります。wasp プローブは、プローブとして実行される組み込み Web サーバです。
同じシステム上で UIM および OC サーバを実行している場合は、アドミン コンソールおよびオペレータ コンソールの両方で HTTPS を有効にするように wasp プローブのみが設定されている必要があります。
wasp.keystore の有効なパスワードを入力する必要もあります。
ただし、wasp.keystore には
ハードコードされた未知の
パスワードがあります
このため、初めて wasp を設定して HTTPS を有効にするときに、
ssl_reinitialize_keystore
コールバックを実行して新しいパスワードを設定することをお勧めします。
ssl_reinitialize_keystore
コールバックは、wasp.keystore とそのパスワード ハッシュを再作成します。このコールバックを実行し、引数として新しいパスワードを入力すると、
そのパスワードが安全な状態で格納され、それ以後使用できるようになります
。このパスワードを紛失したか、または忘れた場合、wasp.keystore を再初期化する以外にリセットする方法はありません。
ssl_reinitialize_keystore コールバックを使用する際は十分な注意が必要です。このコールバックは、wasp.keystore の暗号化ハッシュを変更し、
現在使用しているすべての証明書を無効にします
。したがって、個々の鍵および証明書ファイルをバックアップしておくことを強くお勧めします。このようにしておくと、キーストアを再初期化する必要がある場合、鍵および証明書を新しいキーストアに再ロードできます。
また、keytool ユーティリティを使用して wasp.keystore のパスワードを変更しないでください。wasp は新しいパスワードを認識しません。
現時点では、wasp.keystore のパスワードを変更する唯一の方法は、ssl_reinitialize_keystore コールバックを使用することです。
以下の手順に従います。
  1. インフラストラクチャ マネージャを開きます。
  2. wasp プローブを実行しているサーバに移動します。
  3. wasp プローブをクリックして選択します。
  4. Ctrl +<P>を押して、プローブ ユーティリティを開きます。
  5. Probe commandset
    ]の下のドロップダウン リストで、「
    ssl_reinitialize_keystore
    」を選択します。
  6. 引数として新しいパスワードを入力します。
    6 文字以上のパスワードを指定してください。wasp プローブ ユーティリティでは、これより短いパスワードを指定することもできますが、その場合、後述するように wasp.keystore ファイルを変更できなくなります。
  7. 緑のボタンをクリックしてコールバックを実行します。
    コマンド
    ステータス バーに「
    OK
    」と表示されます。
  8. 将来の使用に備えて、パスワードを安全な場所に記録します。
公開鍵と秘密鍵のペアの生成
以下の手順に従います。
  1. wasp を実行しているサーバ上で、管理者コマンド プロンプトを開きます。
    wasp.keystore ファイルが存在するディレクトリ(通常は <
    OC または UIM server_installation
    >/probes/service/wasp/conf)で、以下の keytool コマンドを実行します。keytool ユーティリティは、JRE が存在するディレクトリ(通常は <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool)にあります。
  2. JAVA_HOME 環境変数を以下のように設定します。
    <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/
  3. wasp.keystore ファイルの有効なパスワードがあることを確認します。
    <
    OC または UIM server_installation
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    「Your keystore contains 1 entry.」という確認メッセージが表示されます。
  4. 自動生成された秘密鍵を削除します。
    <
    OC または UIM server_installation
    >Nimsoft/probes/service/wasp/conf> keytool -delete -alias wasp -keystore wasp.keystore
  5. キーが削除されたことを確認します。
    <
    OC または UIM server_installation
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    「Your keystore contains 0 entries.」という確認メッセージが表示されます。
  6. 必要な鍵サイズで公開鍵と秘密鍵のペアを生成します。
    <
    OC または UIM server_installation
    >Nimsoft/probes/service/wasp/conf> keytool -genkeypair -alias wasp -keyalg RSA -keysize <
    key_size
    > -keystore wasp.keystore -validity <
    days_cert_is_valid
    >
  7. 姓と名の入力を要求されたら、FQDN を入力します。
  8. 要求された場合は、以下のフィールドに入力します。
    • 組織単位
    • 組織
    • 市区町村
    • 都道府県
    • 2 文字の国コード
    入力した情報が正しいことを確認するメッセージが表示されます。
証明書情報の記録
以下の手順に従います。
  1. wasp.keystore ファイルに設定した新しいパスワードを安全な場所に記録します。
  2. 証明書に対して設定した有効期間を記録しておきます。
  3. 証明書ファイルを安全な場所にバックアップします。
CSR の生成およびサブミット
ワイルドカード証明書の場合は、「
<your_domain>.csr
」をこのコマンドの最後の引数として入力してください。
以下の手順に従います。
  1. CSR (証明書署名要求)を生成します。
    <OC または UIM server_installation>/jre/<jre_version>/bin/keytool -certreq -alias wasp -validity <days_cert_is_valid> -keystore <OC or UIM server_installation>Nimsoft/probes/service/wasp/conf/wasp.keystore -file <your_domain>.csr
    CSR は、RSA 鍵アルゴリズムを使用して生成される公開鍵で構築されます。そのため、認証局からの証明書は、鍵の暗号化(「鍵の暗号化を使用した鍵の交換のみを許可」)の暗号化オプションを使用して構築する必要があります。
  2. (オプション)
    wasp.keystore のバックアップ コピーを作成します。これは必須の手順ではありませんが、実行することを強くお勧めします。後でこの手順の問題が発生した場合は、wasp.keystore ファイルのバックアップ コピーがあれば、これまでの手順を繰り返す必要がなくなります。
  3. 証明機関に CSR を送信します。
    1. 証明機関の Web フォームに CSR を貼り付けます。
    2. ----BEGIN CERTIFICATE REQUEST
      の前、および
      END CERTIFICATE REQUEST----
      の後のすべての文字を削除します。
証明書のインポート
すべてのキーストア エントリは、一意のエイリアスを使用する必要があります。署名付き、またはエンティティ証明書に対しては、エイリアスとして wasp を使用する必要があります。証明機関が複数の中間証明書を提供している場合、各中間証明書も一意のエイリアスを使用する必要があります。
以下の手順に従います。
  1. OC を実行しているサーバ上で、管理者コマンド プロンプトを開きます。
    wasp.keystore ファイルが存在するディレクトリ(通常は <
    OC または UIM server_installation
    >/probes/service/wasp/conf)で、以下の keytool コマンドを実行します。keytool ユーティリティは、JRE が存在するディレクトリ(通常は <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool)にあります。
  2. 証明機関がルート証明書を提供している場合は、ルート証明書をインポートします。
    <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool -import -trustcacerts -alias <
    root_certificate
    > -file  <
    root_certificate
    >.cer -keystore <
    OC or UIM server_installation
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  3. 中間証明書をインポートします。
    <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool -import -trustcacerts -alias <
    first_intermediate_certificate
    > -file <
    first_intermediate_certificate
    >.cer -keystore <
    OC or UIM server_installation
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  4. 中間証明書がさらに存在する場合は、必要に応じて前の手順を繰り返し、中間証明書をインポートします。
  5. 署名付きの証明書をインポートします。チェーン証明書を受領した場合、これはエンティティ証明書です。
    <
    OC または UIM server_installation
    >/jre/<
    jre_version
    >/bin/keytool  -import  -trustcacerts  -alias wasp  -file <
    your_domain
    >.crt  -keystore <
    OC or UIM server_installation
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  6. 「Existing entry alias wasp exists, overwrite?」というプロンプトが表示されたら、「yes
    」をクリックします。
  7. 以下のコマンドを発行して wasp.keystore ファイルが更新されたことを検証します。
    <
    OC または UIM server_installation
    >/jre/<jre_version>/bin/keytool -list -keystore <
    OC または UIM server_installation
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  8. wasp プローブを再起動します。
HTTPS 接続のテスト
自己署名証明書を使用するときは、ブラウザによっては「この接続はプライベートではありません」、「この Web サイトの身元が確認されていません」のようなエラーまたは通知が発生することがあります。これらは正常なメッセージです。表示されないようにするには、証明書をブラウザにインポートしてください(ブラウザによってはインポートできないことがあります)。このようなメッセージが一切表示されないようにするには、証明機関からの証明書を使用する必要があります。
以下の手順に従います。
  1. サポートされている Web ブラウザを開きます。
  2. 「https://」と入力し、続けてオペレータ コンソールまたはアドミン コンソールの URL を入力します。
HTTPS を使用するように wasp 設定が正常に変更されると、ログイン ページが表示されます。
注:
ブラウザのアドレス バーで、URL の左にある鍵アイコンをクリックすると、接続に関する情報を表示できます。
(オペレータ コンソールのみ) HTTP から HTTPS への自動リダイレクトの設定
以下の手順に従って、HTTP から HTTPS への自動リダイレクトを設定できます。
以下の手順に従います。
  1. <OC または UIM server_installation>/Nimsoft/probes/service/wasp/webapps/
    フォルダで
    WEB-INF/web.xml
    ファイルを検索し、編集用にファイルを開きます。
  2. 以下の内容を見つけます。
    <security-constraint> <web-resource-collection> <web-resource-name>un restricted methods</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint>
  3. <transport-guarantee>NONE</transport-guarantee>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    に置き換えます。
  4. web.xml ファイルを保存します。
  5. 次のファイルを編集するために開きます。
    <OC or UIM server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  6. </setup>
    の前に、以下の行を追加します。
    <http_connector> redirectPort=<desired port></http_connector>
    <desired port>
    は、「HTTPS を使用するための wasp の変更」で定義されている https_port キーに合わせます。
    <setup>
    セクション内にリダイレクト コードが含まれていることを確認してください。
  7. wasp.cfg ファイルを保存します。
  8. wasp プローブを再起動します。
デュアル モード(HTTP と HTTPS の両方)は許可されません。管理者は、HTTP のみ、HTTPS のみ、または HTTP から HTTPS へのリダイレクトを設定できます。
Cookie のセキュア フラグの設定/有効化
アドミン コンソールと OC で、Cookie のセキュア フラグを設定/有効できます。
アドミン コンソールでの Cookie のセキュア フラグの設定/有効化
アドミン コンソールで Cookie のセキュア フラグを設定/有効化する方法は以下のとおりです。
以下の手順に従います。
  1. 次のファイルを編集するために開きます。
    <UIM server_installation>/Nimsoft/probes/service/wasp/webapps/adminconsoleapp/WEB-INF/web.xml
  2. 以下の <secure> タグのコメント化を解除します。
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
オペレータ コンソールでの Cookie のセキュア フラグの設定/有効化
オペレータ コンソールで Cookie のセキュア フラグを設定/有効化する方法は以下のとおりです。
以下の手順に従います。
  1. 次のファイルを編集するために開きます。
    <OC>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-INF/web.xml
  2. 以下の <secure> タグのコメント化を解除します。
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
Expect-CT ヘッダ値の更新
アドミン コンソールと OC で Expect-CT ヘッダの値を更新できます。
アドミン コンソールでの Expect-CT ヘッダ値の更新
デフォルトでは、Expect-CT は「enforce, max-age=300」に設定されています。これらの値を変更したり、report-uri を追加したりできます。
以下の手順に従います。
  1. 以下の場所にある
    wasp.cfg
    ファイルに移動します。
    <UIM server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  2. テキスト エディタで、
    wasp.cfg
    ファイルを開きます。
  3. webapps\adminconsole セクションで、以下のような Expect-CT-Header プロパティの設定属性を追加/編集します。
    Expect-CT-Header = enforce, max-age=300
  4. wasp を再起動します。
オペレータ コンソールでの Expect-CT ヘッダ値の更新
デフォルトでは、Expect-CT は「enforce, max-age=300」に設定されています。オペレータ コンソールでこれらの値を変更したり、report-uri を追加したりできます。
以下の手順に従います。
  1. 以下の場所にある
    wasp.cfg
    ファイルに移動します。
    <OC server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  2. テキスト エディタで、
    wasp.cfg
    ファイルを開きます。
  3. webapps\operatorconsole_portlet\custom\uncrypted セクションで、以下のような Expect-CT-Header プロパティの設定属性を追加/編集します。
    Expect-CT-Header = enforce, max-age=300
  4. wasp を再起動します。
(オプション)CABI サーバへのアクセス
CABI for UIM ダッシュボードを使用している場合は、追加の設定が必要です。詳細については、「CA UIM での CA Business Intelligence」の「(オプション) HTTPS を使用した CABI サーバへのアクセス」を参照してください。
UIM 20.3.3 では、ネイティブ OC 画面(ホーム ページ、グループ ビュー ページ、デバイス表示ページ、モニタリング テクノロジ(プローブ)ビュー ページ)を表示する CA Business Intelligence (CABI)の依存関係が削除されました。カスタムおよび標準装備のダッシュボードとレポートは、引き続き CABI を使用して表示されます。つまり、CABI と依存関係があります。ただし、ネイティブ OC 画面は CABI (Jaspersoft)に依存しなくなったので、HTML5 を使用して表示されます。HTML5 を使用したネイティブ OC 画面の詳細については、UIM 20.3.3 記事の「モニタリング データの設定および表示」の記事または「CABI 依存関係の削除(ネイティブ オペレータ コンソール)」を参照してください。