15.10.7　通信暗号化機能の有効・無効と製品バージョン間の接続性

通信暗号化機能の有効・無効と，各製品のバージョン（10-50以前，および11-00以降）間の接続，および連携製品との接続について説明します。

〈この項の構成〉

(1)　JP1/IM - ViewとJP1/IM - Managerの接続性，およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性
(2)　JP1/IM - ViewとJP1/Base（マネージャーホスト）の接続性
(3)　JP1/IM - ManagerとJP1/Base（認証サーバ）の接続性
(4)　JP1/Base（マネージャーホスト）とJP1/Base（エージェントホスト）の接続性
(5)　JP1/IM - ManagerとJP1/Base（エージェントホスト）の接続性
(6)　JP1/IM - ManagerとJP1/Agentの接続性
(7)　IM構成管理の接続性
(8)　JP1/IM - Managerと連携製品の接続性
(9)　TLS 1.3対応について
(10)　サーバ証明書の形式ごとの接続性

(1)　JP1/IM - ViewとJP1/IM - Managerの接続性，およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性

バージョン11-00以降のJP1/IM - Viewは，非暗号化通信ホスト設定ファイルで，接続先のJP1/IM - Managerと非暗号化通信するかどうか判断し，接続します。

非暗号化通信ホスト設定ファイルの詳細については，マニュアル「JP1/Integrated Management 3 - Manager コマンド・定義ファイル・APIリファレンス」の「非暗号化通信ホスト設定ファイル（nosslhost.conf）」（2.　定義ファイル）を参照してください。

表15‒23　JP1/IM - ViewとJP1/IM - Managerの接続性
JP1/IM - Manager		JP1/IM - View
バージョン	通信暗号化機能	バージョン 10-50以前	バージョン11-00以降
バージョン	通信暗号化機能	バージョン 10-50以前	非暗号化^※１	暗号化^※2
10-50以前	常に無効	△	△	×
11-00以降	無効	△	△	×
11-00以降	有効（`jp1imcmda`）^※3	×	×	○

（凡例）

○：暗号化で通信する

△：非暗号化で通信する

×：通信できない

注※1

非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager，または「*」である必要があります。

注※2

非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない，かつ「*」でない必要があります。

注※3

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

次に，JP1/IM - Manager（hostA）から他マネージャーホストのJP1/IM - Manager（hostB）に，jcochstatコマンドを実行した例で接続性を示します。

表15‒24　jcochstatコマンドを-hオプションを指定して実行した場合の接続性
JP1/IM - Manager（hostA）		JP1/IM - Manager（hostB）
バージョン	通信暗号化機能	バージョン 10-50以前	バージョン11-00以降
		通信暗号化機能
		常に無効	無効	有効（`jp1imcmda`）^※1
10-50以前	常に無効	△	△	×
11-00以降	無効	△	△	×
11-00以降	有効（`jp1imcmda`）^※1	×	×	○^※2

（凡例）

○：暗号化で通信し，jcochstatコマンドが成功する

△：非暗号化で通信し，jcochstatコマンドが成功する

×：通信できずに，jcochstatコマンドが失敗する

注※1

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

注※2

次に示す前提条件を満たす必要があります。

・-hオプションで指定したJP1/IM - Managerのサーバ証明書に対応するルート認証局のルート証明書を，jcochstatコマンドを実行するマネージャーホストに配置する必要があります。配置していない場合は，暗号化通信できないため，jcochstatコマンドが失敗します。

・-hオプションに指定するマネージャーホスト名は，-hオプションに指定するマネージャーホストのサーバ証明書のCN，またはSANに記載したホスト名を指定する必要があります。指定していない場合は暗号化通信できないため，jcochstatコマンドが失敗します。サーバ証明書のホストの名検証（CNおよびSANの検証）の詳細については，「15.10.4(2)　サーバ証明書のホスト名の検証（CNおよびSANの検証）」を参照してください。

jcochstatコマンドを実行するマネージャーホストと，jcochstatコマンドの-hオプションで指定するマネージャーホストの通信暗号化機能を有効にすることで，jcochstatコマンドでJP1/IM - Manager（他ホスト）の対処状況の変更ができます。なお，jcochstatコマンドのJP1/IM - Manager（他ホスト）の対処状況の変更はバージョン6互換用です。

ページの先頭へ

(2)　JP1/IM - ViewとJP1/Base（マネージャーホスト）の接続性

表15‒25　JP1/IM - ViewとJP1/Base（マネージャーホスト）の接続性
JP1/Base（マネージャーホスト）		JP1/IM - View
バージョン	通信暗号化機能	バージョン 10-50以前	バージョン11-00以降
バージョン	通信暗号化機能	バージョン 10-50以前	非暗号化^※１	暗号化^※2
10-50以前	常に無効	△	△	×
11-00以降	無効	△	△	×
	有効（`jp1imcmda`）^※3	×	×	○
	有効（`jp1bsuser`）^※4	△	△	×
	有効（`jp1imcmda，jp1bsuser`）^※5	×	×	○

（凡例）

○：暗号化で通信する

△：非暗号化で通信する

×：通信できない

注※1

非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager，または「*」である必要があります。

注※2

非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない，かつ「*」でない必要があります。

注※3

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaだけ定義されている場合です。

注※4

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。

注※5

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserが定義されている場合です。

ページの先頭へ

(3)　JP1/IM - ManagerとJP1/Base（認証サーバ）の接続性

表15‒26　JP1/IM - ManagerとJP1/Base（認証サーバ）の接続性
JP1/Base（認証サーバ）		JP1/IM - Manager
バージョン	通信暗号化機能	バージョン 10-50以前	バージョン11-00以降
		通信暗号化機能
		常に無効	無効	有効（`jp1bsuser`）^※
10-50以前	常に無効	△	△	×
11-00以降	無効	△	△	×
11-00以降	有効（`jp1bsuser`）^※	×	×	○

（凡例）

○：暗号化で通信する

△：非暗号化で通信する

×：通信できない

注※

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。

ページの先頭へ

(4)　JP1/Base（マネージャーホスト）とJP1/Base（エージェントホスト）の接続性

JP1/Base（マネージャーホスト）とJP1/Base（エージェントホスト）の接続性については，マニュアル「JP1/Base 運用ガイド」を参照してください。

ページの先頭へ

(5)　JP1/IM - ManagerとJP1/Base（エージェントホスト）の接続性

表15‒27　JP1/IM - ManagerとJP1/Base（エージェントホスト）の接続性
JP1/IM - Manager（マネージャーホスト）		JP1/Base（エージェントホスト）
バージョン	通信暗号化機能	バージョン 12-00以前		バージョン12-10以降
		バージョン 12-00以前		無効	有効^※2 （ホワイトリストあり）	有効^※2 （ホワイトリストなし）
		無効	有効	無効	有効^※2 （ホワイトリストあり）	有効^※2 （ホワイトリストなし）
12-00以前	無効	△	△	△	△	×
12-00以前	有効^※1	△	△	△	△	×
12-10以降	無効	△	△	△	△	×
	有効（ホワイトリストあり）^※2	△	△	△	△	×
	有効（ホワイトリストなし）^※2	×	×	×	×	〇

（凡例）

○：暗号化で通信する

△：非暗号化で通信する

×：通信できない

注※1

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserのどちらかが定義されている場合です。

注※2

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsagentの指定が含まれている場合です。

ページの先頭へ

(6)　JP1/IM - ManagerとJP1/Agentの接続性

表15‒28　JP1/IM - ManagerとJP1/Agentの接続性
JP1/Manager		JP1/IM - Agent
バージョン	通信暗号化機能	バージョン13-00以降
バージョン	通信暗号化機能	有効	無効
13-00以降	有効	〇	×^※
13-00以降	無効	×^※	△

（凡例）

○：暗号化で通信する

△：非暗号化で通信する

×：通信できない

注※

通信暗号化機能を使用する場合は，JP1/IM - ManagerとJP1/IM - Agent（統合エージェント管理基盤）の通信暗号化の設定をすべて有効にしてください。

設定の一部が無効になっていると，通信の一部が暗号化されなかったり，通信に失敗したりするおそれがあるため，注意してください。

ページの先頭へ

(7)　IM構成管理の接続性

JP1/IM - ManagerのIM構成管理情報の同期機能の接続性を次の表に示します。同期機能では，統合マネージャーは拠点マネージャーに接続し，IM構成（リモート構成）を取得しますが，接続元・接続先のJP1/IM - Managerのバージョンおよび通信暗号化機能の有効・無効によって，暗号化通信，非暗号化通信，または接続できないのどれかで動作します。

表15‒29　IM構成管理の接続性
JP1/IM - Manager（接続元統合マネージャー）		JP1/IM - Manager（接続先拠点マネージャー）
バージョン	通信暗号化機能	バージョン 10-50以前	バージョン11-00以降
		通信暗号化機能
		常に無効	無効	有効（`jp1imcmda`）^※
10-50以前	常に無効	△	△	×
11-00以降	無効	△	△	○
11-00以降	有効（`jp1imcmda`）^※	△	△	○

（凡例）

○：暗号化で接続できる

△：非暗号化で接続できる

×：接続できない

注※

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

ページの先頭へ

(8)　JP1/IM - Managerと連携製品の接続性

JP1/Service SupportとJP1/IM - Managerの接続性を次の表に示します。

表15‒30　JP1/Service SupportとJP1/IM - Managerの接続性
JP1/Service Support		JP1/IM - Manager
バージョン	通信暗号化機能	バージョン	インシデントの登録モード^※	通信
12-01	無効	10-10以降	1，2，または3	△
	有効	10-10以降	2	〇
	有効	11-50以降	3	〇
12-00以前	常に無効	09-50以降	1，2，または3	△

（凡例）

○：暗号化で接続できる

△：非暗号化で接続できる

注※

インシデントの登録モードは，インシデント手動登録定義ファイルのSS_MODEパラメーターに値を設定することで切り替えることができます。

インシデント手動登録定義ファイル（incident.conf）の詳細については，マニュアル「JP1/Integrated Management 3 - Manager コマンド・定義ファイル・APIリファレンス」の「インシデント手動登録定義ファイル（incident.conf）」（2.　定義ファイル）を参照してください。

ページの先頭へ

(9)　TLS 1.3対応について

SSL通信のプロトコルのバージョンは，TLS 1.2とTLS 1.3をサポートしています。TLSのバージョンごとの接続性を次の表に示します。

なお，JP1/Baseのデフォルトの設定はTLS 1.2です。

表15‒31　TLSのバージョンごとの接続性
クライアント側		サーバ側で設定したTLSのバージョン^※1
		JP1/IM - Manager バージョン13-00以降			JP1/IM - Manager バージョン12-50以前
		TLS 1.3およびTLS 1.2	TLS 1.3	TLS 1.2	TLS 1.2
JP1/IM - Manager，JP1/IM - View	バージョン13-00以降	TLS 1.3^※2		TLS 1.2^※3
JP1/IM - Manager，JP1/IM - View	バージョン12-50以前	TLS 1.2^※4	通信不可^※5
JP1/IM - Agent	バージョン13-00以降	TLS 1.3^※2
JP1/IM - Agent	バージョン13-00以降	TLS 1.2^※4	通信不可^※5

注※1: JP1/BaseのSSL通信定義ファイルのSSLPROTOCOLパラメーターで設定した値を示します。
注※2: サーバ側で設定したTLS 1.3で動作します。
注※3: サーバ側で設定したTLS 1.2で動作します。
注※3: クライアント側がTLS 1.3をサポートしていないため，サーバ側で設定した値のうち，TLS 1.2で動作します。
注※4: クライアント側がTLS 1.3をサポートしていないため，サーバ側で設定した値のうち，TLS 1.2で動作します。
注※5: クライアント側がTLS 1.3をサポートしていないため，通信に失敗します。

ページの先頭へ

(10)　サーバ証明書の形式ごとの接続性

通信暗号化機能では，サーバー証明書にRSA形式とECC形式の証明書を使用できます。クライアントとサーバ間で使用される認証方式は，サーバ側の証明書の形式で決定されます。サーバ側の証明書の形式に応じて使用される認証方式を，次の表に示します。

クライアント側		サーバ側の証明書の形式
		ECC	RSA	RSA
		JP1/IM - Manager バージョン13-00以降		JP1/IM - Manager バージョン12-50以前
JP1/IM - Manager，JP1/IM - View	バージョン13-00以降	ECC	RSA	RSA
JP1/IM - Manager，JP1/IM - View	バージョン12-50以前	非サポート^※
JP1/IM - Agent	バージョン13-00以降	ECC

注※　非サポートですが，プログラムで抑止していないため，ECC形式の認証方式による暗号化通信は可能です。

ページの先頭へ

15.10.7 通信暗号化機能の有効・無効と製品バージョン間の接続性

(1) JP1/IM - ViewとJP1/IM - Managerの接続性，およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性

(2) JP1/IM - ViewとJP1/Base（マネージャーホスト）の接続性

(3) JP1/IM - ManagerとJP1/Base（認証サーバ）の接続性

(4) JP1/Base（マネージャーホスト）とJP1/Base（エージェントホスト）の接続性

(5) JP1/IM - ManagerとJP1/Base（エージェントホスト）の接続性

(6) JP1/IM - ManagerとJP1/Agentの接続性

(7) IM構成管理の接続性

(8) JP1/IM - Managerと連携製品の接続性

(9) TLS 1.3対応について

(10) サーバ証明書の形式ごとの接続性

15.10.7　通信暗号化機能の有効・無効と製品バージョン間の接続性

(1)　JP1/IM - ViewとJP1/IM - Managerの接続性，およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性

(2)　JP1/IM - ViewとJP1/Base（マネージャーホスト）の接続性

(3)　JP1/IM - ManagerとJP1/Base（認証サーバ）の接続性

(4)　JP1/Base（マネージャーホスト）とJP1/Base（エージェントホスト）の接続性

(5)　JP1/IM - ManagerとJP1/Base（エージェントホスト）の接続性

(6)　JP1/IM - ManagerとJP1/Agentの接続性

(7)　IM構成管理の接続性

(8)　JP1/IM - Managerと連携製品の接続性

(9)　TLS 1.3対応について

(10)　サーバ証明書の形式ごとの接続性