Hitachi

JP1 Version 13 JP1/Integrated Management 3 - Manager 導入・設計ガイド


15.10.7 通信暗号化機能の有効・無効と製品バージョン間の接続性

通信暗号化機能の有効・無効と,各製品のバージョン(10-50以前,および11-00以降)間の接続,および連携製品との接続について説明します。

〈この項の構成〉

(1) JP1/IM - ViewとJP1/IM - Managerの接続性,およびjcochstatコマンドを-hオプションを指定して実行した場合の接続性

バージョン11-00以降のJP1/IM - Viewは,非暗号化通信ホスト設定ファイルで,接続先のJP1/IM - Managerと非暗号化通信するかどうか判断し,接続します。

非暗号化通信ホスト設定ファイルの詳細については,マニュアル「JP1/Integrated Management 3 - Manager コマンド・定義ファイル・APIリファレンス」の「非暗号化通信ホスト設定ファイル(nosslhost.conf)」(2. 定義ファイル)を参照してください。

表15‒23 JP1/IM - ViewとJP1/IM - Managerの接続性

JP1/IM - Manager

JP1/IM - View

バージョン

通信暗号化機能

バージョン

10-50以前

バージョン11-00以降

非暗号化※1

暗号化※2

10-50以前

常に無効

×

11-00以降

無効

×

有効(jp1imcmda※3

×

×

(凡例)

○:暗号化で通信する

△:非暗号化で通信する

×:通信できない

注※1

非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager,または「*」である必要があります。

注※2

非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない,かつ「*」でない必要があります。

注※3

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

次に,JP1/IM - Manager(hostA)から他マネージャーホストのJP1/IM - Manager(hostB)に,jcochstatコマンドを実行した例で接続性を示します。

表15‒24 jcochstatコマンドを-hオプションを指定して実行した場合の接続性

JP1/IM - Manager(hostA)

JP1/IM - Manager(hostB)

バージョン

通信暗号化機能

バージョン

10-50以前

バージョン11-00以降

通信暗号化機能

常に無効

無効

有効(jp1imcmda※1

10-50以前

常に無効

×

11-00以降

無効

×

有効(jp1imcmda※1

×

×

※2

(凡例)

○:暗号化で通信し,jcochstatコマンドが成功する

△:非暗号化で通信し,jcochstatコマンドが成功する

×:通信できずに,jcochstatコマンドが失敗する

注※1

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

注※2

次に示す前提条件を満たす必要があります。

-hオプションで指定したJP1/IM - Managerのサーバ証明書に対応するルート認証局のルート証明書を,jcochstatコマンドを実行するマネージャーホストに配置する必要があります。配置していない場合は,暗号化通信できないため,jcochstatコマンドが失敗します。

-hオプションに指定するマネージャーホスト名は,-hオプションに指定するマネージャーホストのサーバ証明書のCN,またはSANに記載したホスト名を指定する必要があります。指定していない場合は暗号化通信できないため,jcochstatコマンドが失敗します。サーバ証明書のホストの名検証(CNおよびSANの検証)の詳細については,「15.10.4(2) サーバ証明書のホスト名の検証(CNおよびSANの検証)」を参照してください。

jcochstatコマンドを実行するマネージャーホストと,jcochstatコマンドの-hオプションで指定するマネージャーホストの通信暗号化機能を有効にすることで,jcochstatコマンドでJP1/IM - Manager(他ホスト)の対処状況の変更ができます。なお,jcochstatコマンドのJP1/IM - Manager(他ホスト)の対処状況の変更はバージョン6互換用です。

(2) JP1/IM - ViewとJP1/Base(マネージャーホスト)の接続性

表15‒25 JP1/IM - ViewとJP1/Base(マネージャーホスト)の接続性

JP1/Base(マネージャーホスト)

JP1/IM - View

バージョン

通信暗号化機能

バージョン

10-50以前

バージョン11-00以降

非暗号化※1

暗号化※2

10-50以前

常に無効

×

11-00以降

無効

×

有効(jp1imcmda※3

×

×

有効(jp1bsuser※4

×

有効(jp1imcmda,jp1bsuser※5

×

×

(凡例)

○:暗号化で通信する

△:非暗号化で通信する

×:通信できない

注※1

非暗号化通信ホスト設定ファイルのマネージャーホスト名が接続先のJP1/IM - Manager,または「*」である必要があります。

注※2

非暗号化通信ホスト設定ファイルのマネージャーホスト名に接続先のJP1/IM - Managerがない,かつ「*」でない必要があります。

注※3

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaだけ定義されている場合です。

注※4

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。

注※5

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserが定義されている場合です。

(3) JP1/IM - ManagerとJP1/Base(認証サーバ)の接続性

表15‒26 JP1/IM - ManagerとJP1/Base(認証サーバ)の接続性

JP1/Base(認証サーバ)

JP1/IM - Manager

バージョン

通信暗号化機能

バージョン

10-50以前

バージョン11-00以降

通信暗号化機能

常に無効

無効

有効(jp1bsuser

10-50以前

常に無効

×

11-00以降

無効

×

有効(jp1bsuser

×

×

(凡例)

○:暗号化で通信する

△:非暗号化で通信する

×:通信できない

注※

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsuserだけ定義されている場合です。

(4) JP1/Base(マネージャーホスト)とJP1/Base(エージェントホスト)の接続性

JP1/Base(マネージャーホスト)とJP1/Base(エージェントホスト)の接続性については,マニュアル「JP1/Base 運用ガイド」を参照してください。

(5) JP1/IM - ManagerとJP1/Base(エージェントホスト)の接続性

表15‒27 JP1/IM - ManagerとJP1/Base(エージェントホスト)の接続性

JP1/IM - Manager(マネージャーホスト)

JP1/Base(エージェントホスト)

バージョン

通信暗号化機能

バージョン

12-00以前

バージョン12-10以降

無効

有効※2

(ホワイトリストあり)

有効※2

(ホワイトリストなし)

無効

有効

12-00以前

無効

×

有効※1

×

12-10以降

無効

×

有効(ホワイトリストあり)※2

×

有効(ホワイトリストなし)※2

×

×

×

×

(凡例)

○:暗号化で通信する

△:非暗号化で通信する

×:通信できない

注※1

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaおよびjp1bsuserのどちらかが定義されている場合です。

注※2

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1bsagentの指定が含まれている場合です。

(6) JP1/IM - ManagerとJP1/Agentの接続性

表15‒28 JP1/IM - ManagerとJP1/Agentの接続性

JP1/Manager

JP1/IM - Agent

バージョン

通信暗号化機能

バージョン13-00以降

有効

無効

13-00以降

有効

×

無効

×

(凡例)

○:暗号化で通信する

△:非暗号化で通信する

×:通信できない

注※

通信暗号化機能を使用する場合は,JP1/IM - ManagerとJP1/IM - Agent(統合エージェント管理基盤)の通信暗号化の設定をすべて有効にしてください。

設定の一部が無効になっていると,通信の一部が暗号化されなかったり,通信に失敗したりするおそれがあるため,注意してください。

(7) IM構成管理の接続性

JP1/IM - ManagerのIM構成管理情報の同期機能の接続性を次の表に示します。同期機能では,統合マネージャーは拠点マネージャーに接続し,IM構成(リモート構成)を取得しますが,接続元・接続先のJP1/IM - Managerのバージョンおよび通信暗号化機能の有効・無効によって,暗号化通信,非暗号化通信,または接続できないのどれかで動作します。

表15‒29 IM構成管理の接続性

JP1/IM - Manager(接続元統合マネージャー)

JP1/IM - Manager(接続先拠点マネージャー)

バージョン

通信暗号化機能

バージョン

10-50以前

バージョン11-00以降

通信暗号化機能

常に無効

無効

有効(jp1imcmda

10-50以前

常に無効

×

11-00以降

無効

有効(jp1imcmda

(凡例)

○:暗号化で接続できる

△:非暗号化で接続できる

×:接続できない

注※

JP1/BaseのSSL通信定義ファイルのBASESSLパラメーターにjp1imcmdaが定義されている場合です。

(8) JP1/IM - Managerと連携製品の接続性

JP1/Service SupportとJP1/IM - Managerの接続性を次の表に示します。

表15‒30 JP1/Service SupportとJP1/IM - Managerの接続性

JP1/Service Support

JP1/IM - Manager

バージョン

通信暗号化機能

バージョン

インシデントの登録モード

通信

12-01

無効

10-10以降

1,2,または3

有効

10-10以降

2

11-50以降

3

12-00以前

常に無効

09-50以降

1,2,または3

(凡例)

○:暗号化で接続できる

△:非暗号化で接続できる

注※

インシデントの登録モードは,インシデント手動登録定義ファイルのSS_MODEパラメーターに値を設定することで切り替えることができます。

インシデント手動登録定義ファイル(incident.conf)の詳細については,マニュアル「JP1/Integrated Management 3 - Manager コマンド・定義ファイル・APIリファレンス」の「インシデント手動登録定義ファイル(incident.conf)」(2. 定義ファイル)を参照してください。

(9) TLS 1.3対応について

SSL通信のプロトコルのバージョンは,TLS 1.2とTLS 1.3をサポートしています。TLSのバージョンごとの接続性を次の表に示します。

なお,JP1/Baseのデフォルトの設定はTLS 1.2です。

表15‒31 TLSのバージョンごとの接続性

クライアント側

サーバ側で設定したTLSのバージョン※1

JP1/IM - Manager

バージョン13-00以降

JP1/IM - Manager

バージョン12-50以前

TLS 1.3およびTLS 1.2

TLS 1.3

TLS 1.2

TLS 1.2

JP1/IM - Manager,JP1/IM - View

バージョン13-00以降

TLS 1.3※2

TLS 1.2※3

バージョン12-50以前

TLS 1.2※4

通信不可※5

JP1/IM - Agent

バージョン13-00以降

TLS 1.3※2

TLS 1.2※4

通信不可※5

注※1

JP1/BaseのSSL通信定義ファイルのSSLPROTOCOLパラメーターで設定した値を示します。

注※2

サーバ側で設定したTLS 1.3で動作します。

注※3

サーバ側で設定したTLS 1.2で動作します。

注※3

クライアント側がTLS 1.3をサポートしていないため,サーバ側で設定した値のうち,TLS 1.2で動作します。

注※4

クライアント側がTLS 1.3をサポートしていないため,サーバ側で設定した値のうち,TLS 1.2で動作します。

注※5

クライアント側がTLS 1.3をサポートしていないため,通信に失敗します。

(10) サーバ証明書の形式ごとの接続性

通信暗号化機能では,サーバー証明書にRSA形式とECC形式の証明書を使用できます。クライアントとサーバ間で使用される認証方式は,サーバ側の証明書の形式で決定されます。サーバ側の証明書の形式に応じて使用される認証方式を,次の表に示します。

クライアント側

サーバ側の証明書の形式

ECC

RSA

RSA

JP1/IM - Manager

バージョン13-00以降

JP1/IM - Manager

バージョン12-50以前

JP1/IM - Manager,JP1/IM - View

バージョン13-00以降

ECC

RSA

RSA

バージョン12-50以前

非サポート

JP1/IM - Agent

バージョン13-00以降

ECC

注※ 非サポートですが,プログラムで抑止していないため,ECC形式の認証方式による暗号化通信は可能です。