Hitachi

JP1 Version 12 JP1/Base 運用ガイド


SSL通信定義ファイル

〈このページの構成〉

形式

[JP1_DEFAULT\JP1BASE\SSL]

"ENABLE"=dword:{00000000 | 00000001}

"CERTIFICATEFILE"=サーバ証明書ファイル名

"CACERTIFICATEFILE"=ルート証明書ファイル名

"PRIVATEKEYFILE"=秘密鍵ファイル名

"SSLPROTOCOL"=SSL(TLS)バージョン

"SSLCIPHERS"=暗号スイート

"BASESSL"=サービス名

パラメーターの分類

必須パラメーター

なし

選択パラメーター

なし

ファイル名

jp1bs_ssl.conf(SSL通信定義ファイル)

jp1bs_ssl.conf.model(SSL通信定義ファイルのモデルファイル)

格納先ディレクトリ

Windowsの場合

インストール先フォルダ\conf\

共有フォルダ\jp1base\conf\(クラスタ運用時)

UNIXの場合

/etc/opt/jp1base/conf/

共有ディレクトリ/jp1base/conf/(クラスタ運用時)

説明

通信暗号化機能(SSL通信)を有効にするかどうか,およびサーバ証明書のファイル名やルート証明書の格納先などのSSL通信の設定情報を共通定義情報に設定するためのファイルです。

定義の反映時期

jbssetcnfコマンドを実行すると,SSL通信定義ファイルの情報が共通定義情報に登録されます。jbssetcnfコマンドの詳細については,「15. コマンド」の「jbssetcnf」を参照してください。

そのあと,JP1/Baseを再起動すると,共通定義情報の設定が有効になります。

記述内容

SSL通信定義ファイルには,次に示す規則があります。

[JP1_DEFAULT\JP1BASE\SSL]

通信暗号化機能(SSL通信)を有効にするかどうか,およびSSL通信の設定情報を記述するセクションです。論理ホストを設定する場合は,「JP1_DEFAULT」を論理ホスト名にしてください。

"ENABLE"=dword:{00000000 | 00000001}

通信暗号化機能(SSL通信)を有効にするか無効にするかを指定します。有効にする場合は「dword:00000001」を指定します。無効にする場合は「dword:00000000」を指定します。共通定義に設定していない場合は,「dword:00000000」が仮定されます。

dword:00000001」を指定した場合,非SSL通信ホスト設定ファイル(jp1bs_nosslhost.conf)によるSSL通信しないホストを設定できます。

これ以降のパラメーターは,ENABLEパラメーターにdword:00000001を指定した場合に有効となります。

"CERTIFICATEFILE"=サーバ証明書ファイル名

通信暗号化機能で使用するサーバ証明書のファイル名をフルパスで指定します。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"CERTIFICATEFILE"=""」と定義してください。

"CACERTIFICATEFILE"=ルート証明書ファイル名

通信暗号化機能で使用するルート証明書のファイル名をフルパスで指定します。ルート証明書に複数のファイルが必要となる場合は,それらを結合したファイル名を指定してください。指定できる文字数は,1〜255(バイト)です。このパラメーターは,SSL通信を使用するすべてのホストで指定してください。

"PRIVATEKEYFILE"=秘密鍵ファイル名

通信暗号化機能で使用するサーバ証明書の発行を依頼したときに指定した秘密鍵ファイル名をフルパスで指定します。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"PRIVATEKEYFILE"=""」と定義してください。

"SSLPROTOCOL"=SSL(TLS)バージョン

SSL通信のバージョンを指定します。指定できるバージョンは,「TLSv1_2」です。

TLSv1_2

TLS1.2を使用する場合に指定します。

このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"SSLPROTOCOL"=""」と定義してください。

"SSLCIPHERS"=暗号スイート

TLS1.2を規定しているRFC5246で定義しているSSL通信の暗号スイートを指定します。このパラメーターを指定しなかった場合,サーバ証明書に応じた強力な暗号スイートが自動で選択されるため,通常は指定する必要ありません。

暗号スイートを指定する場合は,OpenSSLでサポートする形式で指定してください。例えば,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256を使用したい場合は,DHE-RSA-AES256-SHA256と指定する必要があります。暗号スイートの詳細は,OpenSSLの公式サイトを参照してください。

複数指定する場合は,コロンで区切ってください。指定できる文字数は,1〜255(バイト)です。このパラメーターは,コマンド実行を使用するホストおよび認証サーバプロセスを起動するホストなど,SSL通信でサーバ側になるホストで指定してください。このパラメーターを無効にする場合は,「"SSLCIPHERS"=""」と定義してください。

なお,JP1/IMおよびJP1/AJS3 - ManagerでSSL通信を有効にする際,一部の暗号スイートが使用できない場合があります。詳細は,各製品のリリースノートを参照してください。

"BASESSL"=サービス名

通信暗号化機能を有効にするサービス名を指定します。指定できるサービス名は,「jp1bsuser」,「jp1imcmda」および「jp1bsagent」です。複数指定する場合は,コンマで区切ってください。

jp1bsuser

認証サーバ(ユーザー認証)のSSL通信を有効にする場合に指定します。

jp1imcmda

JP1/IM - ViewとのSSL通信を有効にする場合に指定します。JP1/IM - Viewの通信暗号化機能(SSL通信)については,マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」を参照してください。

jp1bsagent

SSL通信に対応した次の制御でSSL通信を有効にする場合に指定します。

マネージャーホストのJP1/IM - Manager,JP1/BaseとエージェントホストのJP1/Base間のJP1イベント転送,JP1イベント検索,JP1イベント受信,自動アクション,コマンド実行,構成管理,およびヘルスチェック

このパラメーターは,SSL通信を使用するすべてのホストで指定してください。

ただし,サービス名「jp1bsagent」については非SSL通信ホスト設定ファイルに指定したホストでは指定できません。

注意事項

定義例

[JP1_DEFAULT\JP1BASE\SSL]
"ENABLE"=dword:00000001
"CERTIFICATEFILE"="C:\JP1\SSL\cert.pem"
"CACERTIFICATEFILE"="C:\JP1\SSL\cacert.pem"
"PRIVATEKEYFILE"="C:\JP1\SSL\certkey.pem"
"SSLPROTOCOL"="TLSv1_2"
"BASESSL"="jp1bsuser,jp1imcmda,jp1bsagent"