13.11.7 通信暗号化機能の有効・無効と製品バージョン間の接続性
通信暗号化機能の有効・無効と,各製品のバージョン(10-50以前,および11-00以降)間の接続,および連携製品との接続について説明します。
- 〈この項の構成〉
(1) JP1/IM - ViewとJP1/IM - Managerの接続性,およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性
バージョン11-00以降のJP1/IM - Viewは,非暗号化通信ホスト設定ファイルで,接続先のJP1/IM - Managerと非暗号化通信するかどうか判断し,接続します。
非暗号化通信ホスト設定ファイルの詳細については,マニュアル「コマンド・定義ファイル・APIリファレンス」の「非暗号化通信ホスト設定ファイル(nosslhost.conf)」(2. 定義ファイル)を参照してください。
|
JP1/IM - Manager |
JP1/IM - View |
|||
|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 10-50以前 |
バージョン11-00以降 |
|
|
非暗号化※1 |
暗号化※2 |
|||
|
10-50以前 |
常に無効 |
△ |
△ |
× |
|
11-00以降 |
無効 |
△ |
△ |
× |
|
有効(jp1imcmda)※3 |
× |
× |
○ |
|
- (凡例)
-
○:暗号化で通信する
△:非暗号化で通信する
×:通信できない
- 注※1
-
非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager,または「*」である必要があります。
- 注※2
-
非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない,かつ「*」でない必要があります。
- 注※3
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。
次に,JP1/IM - Manager(hostA)から他マネージャーホストのJP1/IM - Manager(hostB)に,jcochstatコマンドを実行した例で接続性を示します。
|
JP1/IM - Manager(hostA) |
JP1/IM - Manager(hostB) |
|||
|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 10-50以前 |
バージョン11-00以降 |
|
|
通信暗号化機能 |
||||
|
常に無効 |
無効 |
有効(jp1imcmda)※1 |
||
|
10-50以前 |
常に無効 |
△ |
△ |
× |
|
11-00以降 |
無効 |
△ |
△ |
× |
|
有効(jp1imcmda)※1 |
× |
× |
○※2 |
|
- (凡例)
-
○:暗号化で通信し,jcochstatコマンドが成功する
△:非暗号化で通信し,jcochstatコマンドが成功する
×:通信できずに,jcochstatコマンドが失敗する
- 注※1
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。
- 注※2
-
次に示す前提条件を満たす必要があります。
・-hオプションで指定したJP1/IM - Managerのサーバ証明書に対応するルート認証局のルート証明書を,jcochstatコマンドを実行するマネージャーホストに配置する必要があります。配置していない場合は,暗号化通信できないため,jcochstatコマンドが失敗します。
・-hオプションに指定するマネージャーホスト名は,-hオプションに指定するマネージャーホストのサーバ証明書のCN,またはSANに記載したホスト名を指定する必要があります。指定していない場合は暗号化通信できないため,jcochstatコマンドが失敗します。サーバ証明書のホストの名検証(CNおよびSANの検証)の詳細については,「13.11.4(2) サーバ証明書のホスト名の検証(CNおよびSANの検証)」を参照してください。
jcochstatコマンドを実行するマネージャーホストと,jcochstatコマンドの-hオプションで指定するマネージャーホストの通信暗号化機能を有効にすることで,jcochstatコマンドでJP1/IM - Manager(他ホスト)の対処状況の変更ができます。なお,jcochstatコマンドのJP1/IM - Manager(他ホスト)の対処状況の変更はバージョン6互換用です。
(2) JP1/IM - ViewとJP1/Base(マネージャーホスト)の接続性
|
JP1/Base(マネージャーホスト) |
JP1/IM - View |
|||
|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 10-50以前 |
バージョン11-00以降 |
|
|
非暗号化※1 |
暗号化※2 |
|||
|
10-50以前 |
常に無効 |
△ |
△ |
× |
|
11-00以降 |
無効 |
△ |
△ |
× |
|
有効(jp1imcmda)※3 |
× |
× |
○ |
|
|
有効(jp1bsuser)※4 |
△ |
△ |
× |
|
|
有効(jp1imcmda,jp1bsuser)※5 |
× |
× |
○ |
|
- (凡例)
-
○:暗号化で通信する
△:非暗号化で通信する
×:通信できない
- 注※1
-
非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager,または「*」である必要があります。
- 注※2
-
非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない,かつ「*」でない必要があります。
- 注※3
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaだけ定義されている場合です。
- 注※4
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。
- 注※5
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserが定義されている場合です。
(3) JP1/IM - ManagerとJP1/Base(認証サーバ)の接続性
|
JP1/Base(認証サーバ) |
JP1/IM - Manager |
|||
|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 10-50以前 |
バージョン11-00以降 |
|
|
通信暗号化機能 |
||||
|
常に無効 |
無効 |
有効(jp1bsuser)※ |
||
|
10-50以前 |
常に無効 |
△ |
△ |
× |
|
11-00以降 |
無効 |
△ |
△ |
× |
|
有効(jp1bsuser)※ |
× |
× |
○ |
|
- (凡例)
-
○:暗号化で通信する
△:非暗号化で通信する
×:通信できない
- 注※
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。
(4) JP1/Base(マネージャーホスト)とJP1/Base(エージェントホスト)の接続性
JP1/Base(マネージャーホスト)とJP1/Base(エージェントホスト)の接続性については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(5) JP1/IM - ManagerとJP1/Base(エージェントホスト)の接続性
|
JP1/IM - Manager(マネージャーホスト) |
JP1/Base(エージェントホスト) |
|||||
|---|---|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 12-00以前 |
バージョン12-10以降 |
|||
|
無効 |
有効※2 (ホワイトリストあり) |
有効※2 (ホワイトリストなし) |
||||
|
無効 |
有効 |
|||||
|
12-00以前 |
無効 |
△ |
△ |
△ |
△ |
× |
|
有効※1 |
△ |
△ |
△ |
△ |
× |
|
|
12-10以降 |
無効 |
△ |
△ |
△ |
△ |
× |
|
有効(ホワイトリストあり)※2 |
△ |
△ |
△ |
△ |
× |
|
|
有効(ホワイトリストなし)※2 |
× |
× |
× |
× |
〇 |
|
- (凡例)
-
○:暗号化で通信する
△:非暗号化で通信する
×:通信できない
- 注※1
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserのどちらかが定義されている場合です。
- 注※2
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsagentの指定が含まれている場合です。
(6) IM構成管理の接続性
JP1/IM - ManagerのIM構成管理情報の同期機能の接続性を次の表に示します。同期機能では,統合マネージャーは拠点マネージャーに接続し,IM構成(リモート構成)を取得しますが,接続元・接続先のJP1/IM - Managerのバージョンおよび通信暗号化機能の有効・無効によって,暗号化通信,非暗号化通信,または接続できないのどれかで動作します。
|
JP1/IM - Manager(接続元統合マネージャー) |
JP1/IM - Manager(接続先拠点マネージャー) |
|||
|---|---|---|---|---|
|
バージョン |
通信暗号化機能 |
バージョン 10-50以前 |
バージョン11-00以降 |
|
|
通信暗号化機能 |
||||
|
常に無効 |
無効 |
有効(jp1imcmda)※ |
||
|
10-50以前 |
常に無効 |
△ |
△ |
× |
|
11-00以降 |
無効 |
△ |
△ |
○ |
|
有効(jp1imcmda)※ |
△ |
△ |
○ |
|
- (凡例)
-
○:暗号化で接続できる
△:非暗号化で接続できる
×:接続できない
- 注※
-
JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。
(7) JP1/IM - Managerと連携製品の接続性
JP1/Service Supportとの連携は,通信暗号化機能が有効な場合は,非サポートです。
JP1/IM - Rule Operationとの連携は,通信暗号化機能が有効な場合は,非サポートです。