セキュリティプロトコルの設定

このページでは、オンプレミスのコントローラで使用されるセキュリティプロトコルとその変更方法について説明します。 

デフォルトのセキュリティプロトコル

コントローラは、デフォルトで TLSv1.2 または TLSv1.3 を使用して接続を保護します。ただし、必要に応じて、コントローラで使用されるセキュリティプロトコルを変更できます。たとえば、TLSv1.2 や TLSv1.3 をサポートしていないエージェントを使用している場合は、プロトコルを変更する必要があります。このようなエージェントには次のものがあります。

• Java エージェントバージョン 3.8.1 以前（SSL 互換性情報の詳細については、「エージェントとコントローラの互換性」を参照）
• .NET Framework 4.5以前で動作する.NETエージェント

エージェントまたは .NET Framework をアップグレードできない場合は、コントローラで TLSv1 および SSL3 を有効にする必要があります。「コントローラでの TLS の有効化」を参照してください。

この変更を行うにはコントローラアプリケーションサーバーを再起動する必要があり、その結果サービスが短時間停止します。ダウンタイムの影響が最も少ない時にこれらの変更を適用することをお勧めします。 

セキュアな環境を維持するために、コントローラのダウンストリームである API でも TLS を使用する必要があります。SSL3 が必要な場合は、有効にすることができます。Oracle JDK 8 ドキュメントを参照してください。

コントローラでのTLSの有効化

1. ブラウザを開き、Enterprise ConsoleのGUIに移動します。

   http(s)://<hostname>:<port>

   デフォルトのポートは9191です。

2. Configurations > Controller Settings > Appserver Configurations にアクセスします。

3. JVM のオプションで、[SSL Context Config] ボックスに移動し、次のタグを更新します。

   <Call name="setincludeProtocols'
   	<Arg>
   		<Array type="String">
   			<Item>TLSv1.2</Item>
   			<Item>TLSv1.3</Item>
   		 	<Item>TLSv1</Item>
   		</Array>
   	<Arg>
   <Call>

   CODE
4. Save をクリックします。

コントローラアプリケーションサーバーは構成の変更ジョブによって自動的に再起動されるため、ユーザーが再起動する必要はありません。

デフォルトの TLS 暗号スイート

このセクションでは、デフォルトで有効になっている TLS 暗号を示します。

• TLS_AES_128_CCM_8_SHA256
• TLS_AES_128_CCM_SHA256
• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA
• TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA
• TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
• TLS_EMPTY_RENEGOTIATION_INFO_SCSV
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_AES_128_CCM_8_SHA256
• TLS_AES_128_CCM_SHA256
• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256