Versions Compared

    Key

    • This line was added.
    • This line was removed.
    • Formatting was changed.
    Comment: Published by Scroll Versions from this space and version 20.7-next
    Sv translation
    languageen
    Appd tocbox

    Related Pages:

    This page describes the security protocol used by an on-premises Controller, and how you can modify it. 

    Default Security Protocol

    The Controller secures connections using TLSv1.2 by default. However, you can change the security protocols used by the Controller if needed. For instance, you need to change the protocol if you are using agents that don't support TLSv1.2. These agents include:

    • Java Agent version 3.8.1 or earlier (see Agent and Controller Compatibility for complete SSL compatibility information)
    • .NET Agent running on .NET Framework 4.5 or earlier

    If upgrading the agents or .NET framework is not possible, you will need to enable TLSv1 and SSL3 on the Controller using the asadmin command-line utility. To use the utility, you will need to supply the password configured for the root user for the Controller.  

    These changes require a restart of the Controller application server, which results in a brief service downtime. You may wish to apply these change when the downtime will have the least impact. 

    To maintain a secure environment, APIs that are downstream of the Controller should also use TLS. If SSL3 is required, you can enable it.  See the Oracle JDK 8 documentation.

    Anchor
    instructionsforlinux
    instructionsforlinux
    Enable TLS for a Controller

    1. Open a browser and navigate to the Enterprise Console GUI: 

      No Format
      http(s)://<hostname>:<port>

      9191 is the default port.

    2. Navigate to AppServer Configurations by choosing the platform, ConfigurationsController Settings, and Appserver Configurations.

    3. In the Domain Protocols box on the JVM Options tab, edit the configs.config.server-config.network-config.protocols.protocol.http-listener-2.ssl.tls-enabled=false parameter to true.

    4. Click Save.
    Info
    You do not need to restart the Controller application server since the configuration change job automatically does so for you.

    Enabling Stronger Encryption Keys

    By default, the Controller's embedded Java runtime only supports up to 128-bit encryption key lengths for secure connections. You can, however, enable up to 256-bit encryption keys so the Controller can establish connections using the stronger ciphers. 

    To enable stronger keys in encryption keys in the Controller, follow the instructions for the Controller version you are running.

    Tabs Container
    Width800px
    directionhorizontal
    Tabs Page
    tabNameController >4.5.4
    titleController >4.5.4

    The Controller versions 4.5.4 and higher are bundled with JDK 8u181, so you no longer need to download the Unlimited Strength Jurisdiction Policy Files from Oracle.

    To enable unlimited cryptography:

    1. Set the new Security property crypto.policy to 'unlimited' in the <JRE>/lib/security/java.security file.

      Info
      iconfalse

      By default, the property crypto.policy is undefined. If the property is undefined and the legacy JCE jurisdiction files don't exist in the legacy lib/security directory, then the default cryptographic level will remain at 'limited' (128-bit encryption).

    2. Restart the Controller app server. 

    Tabs Page
    tabNameController <=4.5.3
    titleController <=4.5.3

    In older releases of JDK, the Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files files have to be downloaded and installed separately to allow unlimited cryptography to be used by the JDK.

    1. Download the Unlimited Strength Jurisdiction Policy Files from the following location:
      http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
    2. Install the policy files in the JRE installed under the Enterprise Console "Platform Installation Path".
    3. Restart the Controller app server. 


    After restarting the Controller app server, the following cipher suites become available:

    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
    Sv translation
    languageja
    Appd tocbox

    On this page:

    Table of Contents
    maxLevel2
    minLevel2

    Related Pages:

    このトピックでは、オンプレミスのコントローラで使用されるセキュリティプロトコルとその変更方法について説明します。 

    デフォルトのセキュリティプロトコル

    コントローラは、デフォルトで TLSv1.2 を使用して接続を保護します。ただし、必要に応じて、コントローラで使用されるセキュリティプロトコルを変更できます。たとえば、TLSv1.2 をサポートしていないエージェントを使用している場合は、プロトコルを変更する必要があります。このようなエージェントには次のものがあります。

    • Java エージェントバージョン 3.8.1 以前(SSL 互換性に関する詳しい情報は、「Agent and Controller Compatibility」を参照)
    • .NET Framework 4.5以前で動作する.NETエージェント

    エージェントまたは .NET フレームワークをアップグレードできない場合は、asadmin コマンドライン ユーティリティを使用して、コントローラで TLSv1 および SSL3 を有効にする必要があります。このユーティリティを使用するには、コントローラのルートユーザ用に設定されたパスワードを指定する必要があります。  

    この変更を行うにはコントローラアプリケーションサーバーを再起動する必要があり、その結果サービスが短時間停止します。ダウンタイムの影響が最も少ない時にこれらの変更を適用することをお勧めします。 

    セキュアな環境を維持するために、コントローラのダウンストリームである API でも TLS を使用する必要があります。SSL3 が必要な場合は、有効にすることができます。次の Oracle JDK 8 ドキュメントを参照してください:http://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html

    Anchor
    instructionsforlinux
    instructionsforlinux
    コントローラでのTLSの有効化

    1. ブラウザを開き、Enterprise ConsoleのGUIに移動します。

      No Format
      http(s)://<hostname>:<port>

      デフォルトのポートは9191です。

    2. プラットフォーム、ConfigurationsController SettingsAppserver Configurations の順に選択して AppServer Configurations に移動します。

    3. JVM Options タブの Domain Protocols ボックスで、configs.config.server-config.network-config.protocols.protocol.http-listener-2.ssl.tls-enabled=false パラメータを true にします。

    4. Save をクリックします。
    Info
    コントローラアプリケーションサーバーは構成の変更ジョブによって自動的に再起動されるため、ユーザーが再起動する必要はありません。

    より強力な暗号化キーの有効化

    デフォルトでは、コントローラの組み込みJavaランタイムは、安全な接続のため最大128ビットの暗号鍵長のみに対応しています。ただし、コントローラがより強力な暗号を使用して接続を確立できるように、最大 256 ビットの暗号キーを有効にすることができます。 

    コントローラの暗号キーでより強力なキーを有効にするには、実行しているコントローラバージョンの手順に従います。

    Appd tabs container
    Width800px
    Appd tab item
    tabNameController 4.5.4 以上

    コントローラバージョン 4.5.4 以上は JDK 8u181 にバンドルされているため、Oracle から無制限強度の管轄ポリシーファイルをダウンロードする必要はなくなりました。

    無制限の暗号を有効にするには:

    1. <JRE>/lib/security/java.security ファイルで、新しいセキュリティプロパティ crypto.policy'unlimited' に設定します。

      Info
      iconfalse

      デフォルトでは、プロパティ crypto.policy は定義されていません。このプロパティが定義されておらず、従来の JCE 管轄ファイルが従来の lib/security ディレクトリに存在しない場合、デフォルトの暗号レベルは「limited」(128 ビット暗号化)のままになります。

    2. コントローラ アプリケーション サーバを再起動します。 

    Appd tab item
    tabNameController 4.5.3 以下

    JDK の旧リリースでは、Java Cryptography Extension(JCE)無制限強度の管轄ポリシーファイルファイルを個別にダウンロードしてインストールし、JDK で無制限の暗号を使用できるようにする必要があります。

    1. 次の場所から無制限強度の管轄ポリシーファイルをダウンロードします。
      http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
    2. Enterprise Consoleの「プラットフォームインストールパス」以下にインストールされているJREに、ポリシーファイルをインストールします。
    3. コントローラ アプリケーション サーバを再起動します。 

    コントローラアプリケーションサーバーを再起動すると、次の暗号が使用可能になります。

    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_DHE_DSS_WITH_AES_256_CBC_SHA