Tuning Manager - Agents
APIを使用してhttp(s)経由でデータを使用する場合,第三者によるデータの傍受や改ざんを防ぐため,SSLを使用して通信データを暗号化することをお勧めします。暗号化を実現するためには,Tuning Manager Agent REST APIコンポーネントにSSLを設定する必要があります。
図7-1 HTM - AgentsとTuning Manager server間またはHTM – AgentsとDeviceManager server間のセキュリティ通信のための操作フロー
- この項の構成
- (1) HTM - Agentsホストの秘密鍵と証明書発行要求の作成
- (2) HTM - Agentsホストのサーバ証明書の認証局への申請
- (3) SSLの有効化(HTM - Agentsホスト)
- (4) トラストストアーへの証明書のインポート(Tuning Manager serverおよびDevice Managerホスト)
- (5) 暗号方式の設定(Tuning Manager server およびDevice Manager ホスト)
- (6) 証明書の内容の確認(HTM - Agents ホスト)
- (7) 証明書の内容の確認(Tuning Manager server およびDevice Manager ホスト)
- (8) 証明書の削除(Tuning Manager server およびDevice Manager ホスト)
(1) HTM - Agentsホストの秘密鍵と証明書発行要求の作成
HTM - Agentsホストの秘密鍵と証明書発行要求(CSR)を作成するには,htmssltoolコマンドを使用します。
htmssltoolコマンドを実行すると,RSA 暗号および楕円曲線暗号(ECC)に対応した2 種類の秘密鍵,証明書発行要求,および自己署名証明書が作成されます。証明書発行要求は,PEM 形式で作成されます。事前に証明書発行要求の要件を認証局に確認しておいてください。なお,自己署名証明書は暗号化通信のテストなどの目的でだけ使用することをお勧めします。
HTM - Agentsホストの秘密鍵と証明書発行要求を作成する手順を次に示します。
- Administrators権限(Windowsの場合)またはrootユーザー権限(UNIXの場合)を持つユーザーでHTM - Agentsホストにログインします。
- htmssltoolコマンドを実行し,HTM - Agentsホストの秘密鍵と証明書発行要求を作成します。
htmssltoolコマンドの詳細については,「18.2.11 htmssltool」を参照してください。
(2) HTM - Agentsホストのサーバ証明書の認証局への申請
認証局へのサーバ証明書の申請は,通常,オンラインで行えます。作成したHTM - Agentsホストの証明書発行要求(CSR)を認証局に送信し,電子署名を受けます。
認証局へサーバ証明書を申請する手順を次に示します。
- 使用する認証局に次の事項を確認してください。
- PEM形式のサーバ証明書を発行してもらえるか
- 証明書の署名アルゴリズムに,認証局が対応しているか
- 作成した証明書発行要求を認証局に送付します。
認証局で発行されたサーバ証明書はemailで送付されます。認証局からの返答は保存しておいてください。
- 注意
- 認証局が発行するサーバ証明書には有効期限があります。有効期限が切れないように注意してください。
- サーバ証明書の有効期限の確認については,「(6) 証明書の内容の確認(HTM - Agents ホスト)」を参照してください。
HTM - Agentsホストのhtnm_httpsd.confファイルを編集して,SSLを有効にします。
- 参考
- SSLを有効にする前に,HTM - Agentsホストの秘密鍵ファイルやサーバ証明書などを次の場所にコピーしておくことをお勧めします。なお,暗号化通信のテストなどの目的の場合は,自己署名証明書でもかまいません。
- HTM - Agentsホストの秘密鍵ファイルおよびサーバ証明書
Windowsの場合:
インストール先フォルダ\htnm¥HBasePSB\httpsd¥conf¥ssl¥server
UNIXの場合:
インストール先ディレクトリ/htnm/HBasePSB/httpsd/conf/ssl/server- 認証局の証明書ファイル(認証局が発行した証明書を利用する場合)
Windowsの場合:
インストール先フォルダ\htnm¥HBasePSB¥httpsd¥conf¥ssl¥cacert
UNIXの場合:
インストール先ディレクトリ/htnm/HBasePSB/httpsd/conf/ssl/cacertSSLを有効にする手順を次に示します。
- 次に示すコマンドを実行し,Tuning Manager Agent REST APIコンポーネントのサービス(Tuning Manager - Agent REST Web Service およびTuning Manager - Agent REST Application Service)のサービスを停止します。
- Windowsの場合:
- インストール先フォルダ\htnm¥bin¥htmsrv stop -webservice
- UNIXの場合:
- インストール先ディレクトリ/htnm/bin/htmsrv stop -webservice
- htnm_httpsd.confファイルを編集し,SSLを有効化します。
htnm_httpsd.confファイルの格納先は,次のとおりです。
- Windowsの場合:
- インストール先フォルダ\htnm\Rest\config\htnm_httpsd.conf
次のとおり編集してください。
- UNIXの場合:
- インストール先ディレクトリ/htnm/Rest/config/htnm_httpsd.conf
- 例に記載しているとおりに番号記号(#)を入力し,そのほかの行からは削除します。
RSA 暗号を使用する場合,SSLECCCertificateKeyFileディレクティブおよびSSLECCCertificateFileディレクティブの行頭の番号記号(#)を削除する必要はありません。また楕円曲線暗号を使用する場合,SSLCertificateFileディレクティブおよびSSLCertificateKeyFileディレクティブの行頭の番号記号(#)を削除する必要はありません。
1つのTuning Manager serverに接続する各HTM – Agentsの暗号方式はすべて同じにしてください。- SSLCertificateFileディレクティブに,RSA暗号のHTM - Agentsホストのサーバ証明書を絶対パスで指定します。サーバ証明書には,認証局で署名済みの証明書と自己署名証明書があります。
- SSLCertificateKeyFileディレクティブに,RSA暗号のHTM - Agentsホストの秘密鍵ファイルを絶対パスで指定します。パスにシンボリックリンクやジャンクションを指定しないでください。
- SSLECCCertificateFileディレクティブに,楕円曲線暗号のHTM - Agents ホストのサーバ証明書を絶対パスで指定します。サーバ証明書には,認証局で署名済みの証明書と自己署名証明書があります。RSA 暗号だけを使用する場合,この設定は不要です。
- SSLECCCertificateKeyFileディレクティブに,楕円曲線暗号のHTM - Agents ホストの秘密鍵ファイルを絶対パスで指定します。パスにシンボリックリンクやジャンクションを指定しないでください。RSA 暗号だけを使用する場合,この設定は不要です。
- チェインした認証局で発行されたサーバ証明書を使用して運用する場合は,SSLCACertificateFileディレクティブの行頭の番号記号(#)を削除して,チェインした認証局の証明書を絶対パスで指定します。複数の証明書(PEM形式)をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。ただし,パスにシンボリックリンクやジャンクションを指定しないでください。
- 次に示すコマンドを実行し,Tuning Manager Agent REST APIコンポーネントのサービスを起動します。
- Windowsの場合:
- インストール先フォルダ\htnm¥bin¥htmsrv start -webservice
- UNIXの場合:
- インストール先ディレクトリ/htnm/bin/htmsrv start -webservice
- 参考
- SSLを無効化する場合も基本的にSSLを有効化する場合と同じ手順です。ただし,手順4では次の例に記載しているとおりに番号記号(#)を入力し,そのほかの行からは削除してください。
(4) トラストストアーへの証明書のインポート(Tuning Manager serverおよびDevice Managerホスト)
HTM - Agentsホストで作成したサーバ証明書を安全な方法で入手して,Tuning Manager serverおよびDevice Managerホストのトラストストアー(jssecacerts)にイ ンポートします。
Device Managerホストのトラストストアーへのインポートは,次の条件をどちらも満たした場合に必要です。条件を満たさない場合は,Tuning Manager serverホストのトラストストアーへのインポートだけしてください。
- アラート機能を使用する
- Tuning Manager serverとDevice Managerを別のホストにインストールしている
Tuning Manager serverおよびDevice Managerをインストールしているホストのトラストストアーの格納先は次のとおりです。
- Windowsの場合:
- Hitachi Command Suite製品のインストール先フォルダ\Base64\uCPSB\jdk\jre\lib\security\jssecacerts
- Linuxの場合:
- Hitachi Command Suite製品のインストール先ディレクトリ/Base64/uCPSB/jdk/jre/lib/security/jssecacerts
なお,著名な認証局を使用する場合,認証局の証明書がトラストストアーにすでにインポートされていることもあります。その場合,証明書を改めてインポートする必要はありません。
トラストストアーへ証明書をインポートする手順については,マニュアル「Hitachi Command Suite システム構成ガイド」のHitachi Command Suite共通コンポーネントのトラストストアーへの証明書のインポートについて説明している個所を参照してください。
(5) 暗号方式の設定(Tuning Manager server およびDevice Manager ホスト)
楕円曲線暗号を使用する場合は、下記の設定が必要です。デフォルトはRSA暗号を使用します。
- HTM – AgentsとTuning Manager serverとの通信に楕円曲線暗号を使用する場合
Tuning Manager serverのユーザープロパティファイル(user.properties)のrest.discovery.agent.use.cipher.typeプロパティに使用する暗号方式を設定します。
ユーザープロパティファイル(user.properties)については,マニュアル「Hitachi Command Suite Tuning Manager 運用管理ガイド」を参照してください。- HTM – AgentsとDevice Managerとの通信に楕円曲線暗号を使用する場合(アラート機能使用時のみ)
Device Managerのtuningmanager.propertiesファイルのhtnm.agent.use.cipher.typeプロパティに使用する暗号方式を設定します。
tuningmanager.propertiesについては,マニュアル「Hitachi Command Suite システム構成ガイド」を参照してください。
(6) 証明書の内容の確認(HTM - Agents ホスト)
認証局が発行するサーバ証明書の内容を確認する場合,次のコマンドを実行します。
- Windowsの場合:
- インストール先フォルダ\htnm\HBasePSB\hjdk\jdk\bin\keytool -printcert -v -file 証明書のファイル名
- Linuxの場合:
- インストール先ディレクトリ/htnm/HBasePSB/hjdk/jdk/bin/keytool -printcert -v -file 証明書のファイル名
- AIXおよびHP-UXの場合:
- /opt/jp1pc/htnm/HBasePSB/jdk/bin/keytool -printcert -v -file 証明書のファイル名
(7) 証明書の内容の確認(Tuning Manager server およびDevice Manager ホスト)
トラストストアーへインポートされた証明書の内容を確認する手順については,マニュアル「Hitachi Command Suite システム構成ガイド」のHitachi Command Suite共通コンポーネントのトラストストアーにインポートされた証明書の確認について説明している個所を参照してください。
(8) 証明書の削除(Tuning Manager server およびDevice Manager ホスト)
トラストストアーへインポートされた証明書を削除する手順については,マニュアル「Hitachi Command Suite システム構成ガイド」のHitachi Command Suite共通コンポーネントのトラストストアーにインポートされた証明書の削除について説明している個所を参照してください。
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.