SSL通信定義ファイル
形式
|
[JP1_DEFAULT\JP1BASE\SSL] "ENABLE"=dword:{00000000 | 00000001} "CERTIFICATEFILE"=サーバ証明書ファイル名 "CACERTIFICATEFILE"=ルート証明書ファイル名 "PRIVATEKEYFILE"=秘密鍵ファイル名 "SSLPROTOCOL"=SSL(TLS)バージョン "SSLCIPHERS"=暗号スイート "BASESSL"=サービス名 |
パラメーターの分類
- 必須パラメーター
-
なし
- 選択パラメーター
-
なし
ファイル名
jp1bs_ssl.conf(SSL通信定義ファイル)
jp1bs_ssl.conf.model(SSL通信定義ファイルのモデルファイル)
格納先ディレクトリ
- Windowsの場合
-
インストール先フォルダ\conf\
共有フォルダ\jp1base\conf\(クラスタ運用時)
- UNIXの場合
-
/etc/opt/jp1base/conf/
共有ディレクトリ/jp1base/conf/(クラスタ運用時)
説明
通信暗号化機能(SSL通信)を有効にするかどうか,およびサーバ証明書のファイル名やルート証明書の格納先などのSSL通信の設定情報を共通定義情報に設定するためのファイルです。
定義の反映時期
jbssetcnfコマンドを実行すると,SSL通信定義ファイルの情報が共通定義情報に登録されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。
そのあと,JP1/Baseを再起動すると,共通定義情報の設定が有効になります。
記述内容
SSL通信定義ファイルには,次に示す規則があります。
-
「=」「,」の前後,行頭,および行末にスペースまたはタブを入れないでください。これらを入れた場合,jbssetcnfコマンド実行時にエラーとなります。
-
改行だけの行は無効になります。
- [JP1_DEFAULT\JP1BASE\SSL]
-
通信暗号化機能(SSL通信)を有効にするかどうか,およびSSL通信の設定情報を記述するセクションです。論理ホストを設定する場合は,「JP1_DEFAULT」を論理ホスト名にしてください。
- "ENABLE"=dword:{00000000 | 00000001}
-
通信暗号化機能(SSL通信)を有効にするか無効にするかを指定します。有効にする場合は「dword:00000001」を指定します。無効にする場合は「dword:00000000」を指定します。共通定義に設定していない場合は,「dword:00000000」が仮定されます。
「dword:00000001」を指定した場合,非SSL通信ホスト設定ファイル(jp1bs_nosslhost.conf)によるSSL通信しないホストを設定できます。
これ以降のパラメーターは,ENABLEパラメーターにdword:00000001を指定した場合に有効となります。
- "CERTIFICATEFILE"=サーバ証明書ファイル名
-
通信暗号化機能で使用するサーバ証明書のファイル名をフルパスで指定します。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"CERTIFICATEFILE"=""」と定義してください。
- "CACERTIFICATEFILE"=ルート証明書ファイル名
-
通信暗号化機能で使用するルート証明書のファイル名をフルパスで指定します。ルート証明書に複数のファイルが必要となる場合は,それらを結合したファイル名を指定してください。指定できる文字数は,1〜255(バイト)です。このパラメーターは,SSL通信を使用するすべてのホストで指定してください。
- "PRIVATEKEYFILE"=秘密鍵ファイル名
-
通信暗号化機能で使用するサーバ証明書の発行を依頼したときに指定した秘密鍵ファイル名をフルパスで指定します。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"PRIVATEKEYFILE"=""」と定義してください。
- "SSLPROTOCOL"=SSL(TLS)バージョン
-
SSL通信のバージョンを指定します。指定できるバージョンは,「TLSv1_2」です。
- TLSv1_2
-
TLS1.2を使用する場合に指定します。
このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"SSLPROTOCOL"=""」と定義してください。
- "SSLCIPHERS"=暗号スイート
-
TLS1.2を規定しているRFC5246で定義しているSSL通信の暗号スイートを指定します。このパラメーターを指定しなかった場合,サーバ証明書に応じた強力な暗号スイートが自動で選択されるため,通常は指定する必要ありません。
暗号スイートを指定する場合は,OpenSSLでサポートする形式で指定してください。例えば,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256を使用したい場合は,DHE-RSA-AES256-SHA256と指定する必要があります。暗号スイートの詳細は,OpenSSLの公式サイトを参照してください。
複数指定する場合は,コロンで区切ってください。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"SSLCIPHERS"=""」と定義してください。
なお,JP1/IMおよびJP1/AJS3 - ManagerでSSL通信を有効にする際,一部の暗号スイートが使用できない場合があります。詳細は,各製品のリリースノートを参照してください。
- "BASESSL"=サービス名
-
通信暗号化機能を有効にするサービス名を指定します。指定できるサービス名は,「jp1bsuser」,「jp1imcmda」および「jp1bsagent」です。複数指定する場合は,コンマで区切ってください。
- jp1bsuser
-
認証サーバ(ユーザー認証)のSSL通信を有効にする場合に指定します。
- jp1imcmda
-
JP1/IM - ViewとのSSL通信を有効にする場合に指定します。JP1/IM - Viewの通信暗号化機能(SSL通信)については,マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」を参照してください。
- jp1bsagent
-
SSL通信に対応した次の制御でSSL通信を有効にする場合に指定します。
マネージャーホストのJP1/IM - Manager,JP1/BaseとエージェントホストのJP1/Base間のJP1イベント転送,JP1イベント検索,JP1イベント受信,自動アクション,コマンド実行,構成管理,およびヘルスチェック
このパラメーターは,SSL通信を使用するすべてのホストで指定してください。
ただし,サービス名「jp1bsagent」については非SSL通信ホスト設定ファイルに指定したホストでは指定できません。
注意事項
-
各パラメーターは,JP1/IMおよびJP1/AJS3 - ManagerでSSL通信を有効にする場合も使用します。詳細は,各製品のマニュアルを参照してください。
-
論理ホスト上で設定する場合は,実行系および待機系の両方で設定します。その際,[JP1_DEFAULT\JP1BASE\SSL]のJP1_DEFAULTを論理ホスト名に変更してください。
-
セキュリティ確保のため,サーバ証明書(CERTIFICATEFILE),ルート証明書(CACERTIFICATEFILE),および秘密鍵(PRIVATEKEYFILE)の格納先として,資料採取ツールが採取対象としているディレクトリは避けてください。資料採取ツールの採取対象については,「18.3.1 トラブル発生時に採取が必要な資料(Windowsの場合)」および「18.3.2 トラブル発生時に採取が必要な資料(UNIXの場合)」を参照してください。
定義例
[JP1_DEFAULT\JP1BASE\SSL] "ENABLE"=dword:00000001 "CERTIFICATEFILE"="C:\JP1\SSL\cert.pem" "CACERTIFICATEFILE"="C:\JP1\SSL\cacert.pem" "PRIVATEKEYFILE"="C:\JP1\SSL\certkey.pem" "SSLPROTOCOL"="TLSv1_2" "BASESSL"="jp1bsuser,jp1imcmda,jp1bsagent"