標準アップグレード手順

標準アップグレード手順では、プラットフォーム パッチを使用して、あるバージョンから次のバージョンにアップグレードします。 バージョンをスキップすることはできません。
Gateway 9.4 から 10.0 へのアップグレードには、標準アップグレード手順は使用できません。 Gateway バージョン 10.0 にアップグレードするには、手動または自動の急速アップグレード手順を使用します。
インストールにカスタム アサーションが含まれている場合は、アップグレードする前に、Gateway のアップグレード中に特定のカスタム アサーションによって問題が発生しないことをサポートに確認してください。
アプライアンス Gateway のアップグレード(MAG なしで修正)
Upgrade an Appliance Gateway (fixed with no MAG)
ワークフロー:
現在のバージョンの確認
アップグレードする前に、Gateway の現在のバージョンを確認して、正しいアップグレード パッチが使用されていることを確認します。
Gateway のバージョンを確認する方法
  1. ssgconfig
    としてログインし、Gateway のメイン メニューを開きます。
  2. コマンド プロンプトで、以下のように入力します。
    # rpm -q ssg
    インストールされているバージョンが表示されます。
Enterprise Service Manager の無効化
Enterprise Service Manager (ESM)が存在する場合は、Gateway をアップグレードする前に無効にする必要があります。
Enterprise Service Manager を無効にする方法
  1. ssgconfig
    としてログインし、Gateway メイン メニューからオプション
    7
    (Display Enterprise Service Manager)を選択します。
  2. オプション
    2
    (Disable the Enterprise Service Manager)を選択し、
    Enter
    キーを押して続行します。
  3. 確定するには、「
    y
    」と入力します。
nCipher (以前の Thales) HSM ファームウェアのアップグレード
この手順は、バージョン 9.1 よりも
前の
バージョンからアップグレードし、かつお使いの Gateway に nCipher ハードウェア セキュリティ モジュール(HSM)が含まれている場合にのみ実行します。
重要:
(1)指示に注意深く従ってください。ファームウェアのアップグレードを適切に行わないとご使用の HSM が動作不能に陥る場合があります。 アップグレードが完了すると、以前のバージョンのファームウェアに戻すことはできません。 (2)ファームウェアをアップグレードした後は、セキュリティ ワールドを再構築する必要があります。 詳細な手順については、「nShield User Guide」を参照してください。
バージョン 9.1 以降では、nShield Solo+ HSM が再びサポートされるようになりました。 9.1 より前のバージョンからアップグレードする場合は、ファームウェアをアップグレードして、最新リリースのドライバとの互換性を確保する必要があります。 ファームウェア アップグレード ファイルについては、nCipher 社にお問い合わせください。 ライセンスの制限により、Layer7 では提供されていません。 ファームウェアをアップグレードするための完全な手順については、「nCipher nShield Solo User Guide
」を参照してください。
注:
「nCipher nShield Solo User Guide
」で説明されているとおりに
nfloadmon
コマンドを実行する代わりに、一時的に更新した PATH 環境変数をコマンドの先頭に追加する必要があります。 以下に例を示します。
PATH="/opt/nfast/bin/:$PATH" /opt/nfast/bin/nfloadmon -m1 --automode
<firmware-upgrade-folder>
/2-60-1/ldb_ncx3p-26.nff /opt/ncipher-firmware-upgrade/2-61-2/ncx3p-26.nff
ここで、「
<firmware-upgrade-folder>
」は、ファームウェア アップグレード ファイルが含まれるディレクトリです(たとえば、「/opt/ncipher-firmware-upgrade」)。
以下の手順は、ファームウェア アップグレード手順をまとめたものです(詳細については nCipher のドキュメントを参照してください)。
  1. ncx3p-26.nff
    を Gateway 上のディレクトリ
    /opt/ncipher-firmware-upgrade/2-61-2
    にアップロードします。
    ldb_ncx3p-26.nff
    をディレクトリ
    /opt/ncipher-firmware-upgrade/2-60-1
    にアップロードします
  2. root
    、または「nfast」グループのユーザとして Gateway にログインします。
  3. モジュールを Pre-Maintenance モードに設定し、次にモジュールをリセットします。 詳細については、後述の「モードの変更方法」を参照してください。
  4. enquiry
    コマンドを実行して、モジュールが Pre-Maintenance 状態にあることを確認します。
    # /opt/nfast/bin/enquiry
    HSM はメンテナンス コマンドを受信すると、メンテナンス モードに入ります(たとえば、コマンド ライン ユーティリティから「loadrom」を実行)。
  5. 以下のコマンドを実行して、新しいファームウェアとモニタをロードします。
    # PATH="/opt/nfast/bin/:$PATH" /opt/nfast/bin/nfloadmon -m1 --automode /opt/ncipher-firmware-upgrade/2-60-1/ldb_ncx3p-26.nff /opt/ncipher-firmware-upgrade/2-61-2/ncx3p-26.nff
  6. プロンプトが表示されたら、カードを Pre-Initialization モードに切り替えて、次にモジュールをリセットします。 詳細については、後述の「モードの変更方法」を参照してください。
  7. enquiry
    コマンドを再度実行して、モジュールが Pre-Initialization 状態にあることを確認します。
  8. 以下のコマンドを実行して、モジュールを初期化します。
    # /opt/nfast/bin/initunit
  9. モニタが正常にアップグレードされたことを確認するには、モジュールを Maintenance モードに設定し、次にモジュールをリセットします。 詳細については、後述の「モードの変更方法」を参照してください。
    enquiry
    コマンドを実行して、モニタ バージョンが 3.21.3 にアップグレードされたことを確認します。
  10. モジュールを Operational モードに設定し、次にモジュールをリセットします。 詳細については、後述の「モードの変更方法」を参照してください。
  11. enquiry
    コマンドを実行して、モジュールが Operational 状態にあり、正しいファームウェア バージョンになっていることを確認します。
モードの変更方法
モードの変更には、以下のいずれかの方法を使用できます。
  • 物理モード スイッチ:
    この方法では、Gateway アプライアンスの背面にある nShield Solo カード上のスイッチを手動で切り替えます。
    1. スイッチを希望するモードに切り替えます(I、O、または M)。
    2. 以下のいずれかの方法でモジュールをリセットします。
      • カード上にある凹型のリセット ボタンを押します。
        または
      • 以下のコマンドを実行します。
        # /opt/nfast/bin/nopclearfail --clear --all
  • リモート モード スイッチ:
    この方法では、
    noclearfail
    コマンドを使用して、コンピュータから nShield Solo カードのモードをリモートで変更します。 以下の点に注意してください。
    • この方法を使用できるのは、ファームウェア バージョン 2.61.2 が実行されている nShield Solo のみです。
    • カード上の物理モード スイッチは、「O」の位置に設定されている必要があります。
    • カード上の物理モード オーバーライド ジャンパーが「on」に設定されており、カード上のリモート モード オーバーライド ジャンパーが「on」に設定されていないことを確認します。
    • 以下のコマンドを使用してモードを変更します。
      # /opt/nfast/bin/nopclearfail --[maintenance|operational|initialization]
古い Web ソケット コンポーネントの削除
インストールされている Gateway に v9.1 以前の Web ソケット コンポーネントが含まれている場合は、アップグレードの前にこれらのコンポーネントを削除します。
古い Web ソケット コンポーネントの削除方法
  1. 「WebSocketAssertion-
    <version>
    .saar」という説明が付いた「websocket」という名前のエントリを選択し、[
    Delete
    ]をクリックします。
  2. 特権シェルにアクセスします。
  3. /opt/SecureSpan/Gateway/runtime/modules/assertions/
    に移動します。
  4. 存在する場合は、
    WebSocketAssertion.aar
    ファイルを削除します。
Gateway の停止
Layer7 API Gateway
上のすべてのノードを停止します。
  1. Gateway メイン メニューにアクセスします。
  2. オプション
    2
    (Display
    Layer7 API Gateway
    configuration メニュー)を選択します。
  3. オプション
    7
    (Manage
    Layer7 API Gateway
    status)を選択します。
  4. Enter
    キーを押して、Gateway を停止するオプションを選択します。
各 Gateway ノードに対してこれらの手順を繰り返します。
更新ファイルのダウンロード
Layer7 API Gateway
を現在のリリースにアップグレードするために必要なファイルについては、「更新ファイルのリスト」を参照してください。 プラットフォームの更新は累積的ではないことに注意してください。 つまり、より古いバージョンからアップグレードする場合、より多くの更新が必要です。サポート サイトからアーカイブ ファイルをダウンロードする方法については、「アプライアンス Gateway へのパッチの適用」の「パッチ ファイルの入手」を参照してください。
アプライアンス Gateway のオペレーティング システムを表示するには、「Gateway のメイン メニュー(アプライアンス)」にアクセスします。 オペレーティング システムの名前およびバージョン番号が最上部に表示されます。 これは、ダウンロードする正しいパッチを特定するために役立ちます。
更新ファイルのインストール
すべての必要な更新ファイルをダウンロードしたら、以下の手順を使用してそれらをインストールします。
Gateway をアップグレードする前に、カーネル パッチ Layer7_API_PlatformUpdate_64bit_vKernel-2018-10-05.L7P をインストールする必要があります。 パッチのインストールは、各 Gateway のアップグレード作業で 1 回行う必要があります。 アップグレード作業は 1 つ以上のプラットフォーム アップグレード パッチのインストールで構成され、最後に Gateway アップグレード パッチを 1 回インストールして完了します。
Gateway 更新ファイルのインストール方法
  1. クラスタ化された Gateway で、レプリケーションが有効である場合は、クラスタ内のすべてのデータベース ノード上の MySQL でスレーブを停止します。
    1. ssgconfig
      としてログインし、Gateway のメイン メニューを開きます。
    2. MySQL を開きます。
      # mysql
    3. MySQL のコマンド プロンプトで、以下のように入力します。
      stop slave;
      MySQL コマンド プロンプトを終了します。
  2. Gateway をバックアップします。 詳細については、「Gateway のバックアップ」を参照してください。
  3. アプライアンス Gateway へのパッチの適用」で取得されたパッチ ファイルをアップロードします。
  4. 最初にすべてのプラットフォームの更新をインストールし、(メイン メニューからオプション
    R
    を使用して) Gateway アプライアンスを再起動します。 詳細については、「アプライアンス Gateway へのパッチの適用」のオプション 2 「Gateway へのパッチのインストール」を参照してください。
  5. アプリケーションの更新をインストールし、もう一度 Gateway アプライアンスを再起動します。
  6. Gateway の再起動後にレプリケーションが自動的に再開されます。 これを確認する方法を以下に示します。
    1. 特権シェルを開き、MySQL クライアントにログインします。
      # mysql
    2. MySQL にログインしたら、以下のコマンドを実行します。
      show slave status\G;
      以下の行が表示されます。
      Slave_IO_Running: Yes
      Slave_SQL_Running: Yes
    3. レプリケーションが再開されなかった場合は、以下のスクリプトを実行することによって、手動でレプリケーションを開始します。
      # /opt/SecureSpan/Appliance/bin/restart_replication.sh
      技術的なヒント:
      仮想アプライアンス上でのレプリケーションの再開は若干遅くなります。
      vmware-tools_reconf_once
      サービスには、新しい OS カーネル用の VMware ツールを準備する時間が必要です。
Gateway データベースのアップグレード
Layer7 API Gateway
を更新したら、次にデータベースをアップグレードします。 アップグレードの方法は、標準の MySQL データベースを実行しているか、または組み込みデータベースを実行しているかによって異なります。
Gateway パッチのインストール後にデータベースをアップグレードする場合、正常にアップグレードするために、管理データベース ユーザ(
root
)権限を持っているか、または同様の権限をユーザに付与したことを確認します。
外部 MySQL データベースを使用しており、そのデータベースをアップグレードする必要がある場合は、「RHEL/CentOS 用のアップグレード ファイルのインストール」の「MySQL データベースを使用する Gateway のアップグレード
」を参照してください。
アップグレード後に mysql 警告メッセージが表示された場合は、
mysql_upgrade
コマンドを実行して、アップグレードされた MySQL サーバとの非互換性を解決します。
組み込みデータベース
Gateway が組み込みデータベースを使用している場合、データベースは Gateway の再起動時に自動的に更新されます。 それ以外に何も実行する必要はありません。 組み込みデータベースの詳細については、「Gateway 組み込みデータベースについて」を参照してください。
MySQL データベース
MySQL データベースは、Gateway で最もよく使用されています。 このデータベースを更新には、以下の手順に従います。
  1. Gateway メイン メニューにアクセスします。
  2. オプション
    2
    (Display
    Layer7 API Gateway
    configuration メニュー)を選択します。
  3. オプション
    1
    (Upgrade the
    Layer7 API Gateway
    database)を選択し、画面上のプロンプトに従います。
設定メニューの詳細については、「[Gateway Configuration]メニュー(アプライアンス)」を参照してください。
Gateway の再起動
これで、
Layer7 API Gateway
を起動できるようになりました。
  1. Gateway メイン メニューにアクセスします。
  2. オプション
    R
    (Reboot the
    Layer7 API Gateway
    appliance)を選択します。
レプリケーションが有効なクラスタ化された Gateway の場合、セカンダリ データベースはプライマリ データベースからレプリケートされます。
Enterprise Service Manager の再有効化
Layer7 API Gateway
- Enterprise Service Manager が存在する場合は、「Enterprise Service Manager の無効化」の手順を繰り返して、再有効化します。 メニュー オプション
2
は、ここでは[Enable Enterprise Service Manager]となることに注意してください。
アップグレード後の SafeNet Luna の更新
Luna HSM クライアントのバージョン 7.2 をインストールしている場合は、「SafeNet Luna SA HSM v7.2 の設定」で java.security の変更を参照してください。
Gateway が SafeNet Luna HSM を使用している場合、Gateway を現在のリリースにアップグレードした後に以下の調整を行います。
  1. 特権シェルにアクセスします。
  2. テキスト エディタで次のファイルを開きます。
    /opt/SecureSpan/JDK/jre/lib/security/java.security
  3. 以下の行をファイルに追加し(まだ行が存在しない場合)、ファイルを保存して閉じます。
    com.safenetinc.luna.provider.createExtractableKeys=true
    Luna マシンで FIPS モードが有効になっている場合は、以下のように java.security ファイルに追加の行を挿入します。
    security.provider.10=com.safenetinc.luna.provider.LunaProvider