このページでは、オンプレミスのコントローラで使用されるセキュリティプロトコルとその変更方法について説明します。 

デフォルトのセキュリティプロトコル

コントローラは、デフォルトで TLSv1.2 を使用して接続を保護します。ただし、必要に応じて、コントローラで使用されるセキュリティプロトコルを変更できます。たとえば、TLSv1.2 をサポートしていないエージェントを使用している場合は、プロトコルを変更する必要があります。このようなエージェントには次のものがあります。

エージェントまたは .NET フレームワークをアップグレードできない場合は、asadmin コマンドライン ユーティリティを使用して、コントローラで TLSv1 および SSL3 を有効にする必要があります。このユーティリティを使用するには、コントローラのルートユーザ用に設定されたパスワードを指定する必要があります。  

この変更を行うにはコントローラアプリケーションサーバーを再起動する必要があり、その結果サービスが短時間停止します。ダウンタイムの影響が最も少ない時にこれらの変更を適用することをお勧めします。 

セキュアな環境を維持するために、コントローラのダウンストリームである API でも TLS を使用する必要があります。SSL3 が必要な場合は、有効にすることができます。Oracle JDK 8 ドキュメントを参照してください。

コントローラでのTLSの有効化

  1. ブラウザを開き、Enterprise ConsoleのGUIに移動します。

    http(s)://<hostname>:<port>

    デフォルトのポートは9191です。

  2. プラットフォーム、ConfigurationsController SettingsAppserver Configurations の順に選択して AppServer Configurations に移動します。

  3. [JVM Options] タブの [Domain Protocols] ボックスで、configs.config.server-config.network-config.protocols.protocol.http-listener-2.ssl.tls-enabled=false パラメータを true に編集します。

  4. Save をクリックします。
コントローラアプリケーションサーバーは構成の変更ジョブによって自動的に再起動されるため、ユーザーが再起動する必要はありません。

より強力な暗号化キーの有効化

デフォルトでは、コントローラの組み込みJavaランタイムは、安全な接続のため最大128ビットの暗号鍵長のみに対応しています。ただし、コントローラがより強力な暗号を使用して接続を確立できるように、最大 256 ビットの暗号キーを有効にすることができます。 

コントローラの暗号キーでより強力なキーを有効にするには、実行しているコントローラバージョンの手順に従います。

コントローラバージョン 4.5.4 以上は JDK 8u181 にバンドルされているため、Oracle から無制限強度の管轄ポリシーファイルをダウンロードする必要はなくなりました。

無制限の暗号を有効にするには:

  1. <JRE>/lib/security/java.security ファイルで、新しいセキュリティプロパティ crypto.policy'unlimited' に設定します。

    デフォルトでは、プロパティ crypto.policy は定義されていません。このプロパティが定義されておらず、従来の JCE 管轄ファイルが従来の lib/security ディレクトリに存在しない場合、デフォルトの暗号レベルは「limited」(128 ビット暗号化)のままになります。

  2. コントローラ アプリケーション サーバを再起動します。 

JDK の旧リリースでは、Java Cryptography Extension(JCE)無制限強度の管轄ポリシーファイルファイルを個別にダウンロードしてインストールし、JDK で無制限の暗号を使用できるようにする必要があります。

  1. 次の場所から無制限強度の管轄ポリシーファイルをダウンロードします。
    http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
  2. Enterprise Consoleの「プラットフォームインストールパス」以下にインストールされているJREに、ポリシーファイルをインストールします。
  3. コントローラ アプリケーション サーバを再起動します。 


コントローラアプリケーションサーバーを再起動すると、次の暗号が使用可能になります。

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA