3.9.9 Syslogプロトコル(TLS1.2/RFC5424)の要件
Syslogプロトコル(TLS1.2/RFC5424)を使用する場合、次の要件を満たしている必要があります。
-
動作確認済みの、TLS1.2をサポートしたSyslogサーバrsyslog
-
-
X.509証明書の拡張プロファイルのフィールドついては、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(Subject Key Identifier)」、「主体者別名(SubjectAltName)」以外が使用されていないこと。
-
証明書チェーンの階層数が5以下であること。
-
-
クライアントの証明書
次の証明書をSVPにアップロードします。
証明書の種別
形式
要件
Syslogサーバのルート証明書
X.509 形式X.509形式
-
X.509証明書の拡張プロファイルのフィールドについては、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(Subject Key Identifier)」以外が使用されていないこと。
クライアント証明書
PKCS#12形式PKCS#12形式
-
中間証明書が存在する場合は、中間証明書を含んだ証明書チェーンで構成された、署名付き公開鍵証明書を準備しておくこと。
-
アップロードする証明書の証明書チェーンの階層数は、ルートCA証明書を含めて5階層以下であること。
-
アップロードする証明書の公開鍵暗号方式がRSAであること。
-
クライアント証明書のCommon NameとSubject Alternative NameにGUM(CTL1)、GUM(CTL2)のIPアドレスやホスト名を設定していること。
認証局から中間証明書が提供された場合、中間証明書はSyslogサーバに設定してください。
これらの証明書についてはSyslogサーバの管理者にお問い合わせください。証明書の管理についてはSyslogサーバの管理者とご相談の上、適切に管理してください。
証明書には期限があります。期限が切れるとSyslogサーバと接続できなくなるため、証明書を準備するときは証明書の期限にご注意ください。
Syslogサーバのルート証明書は、Syslogサーバの管理者から取得してください。また、SyslogサーバのCA局(Certificate Authority)によって署名されたクライアント証明書を、PKCS#12形式に変換してください「3.9.10 クライアント証明書を取得する(Syslogプロトコルを使用する場合)」を参照。
PKCS#12形式のクライアント証明書に設定されたパスワードがわからない場合は、Syslogサーバの管理者にお問い合わせください。
-