Versions Compared

    Key

    • This line was added.
    • This line was removed.
    • Formatting was changed.
    Comment: Published by Scroll Versions from this space and version 20.5
    Sv translation
    languageen

    If you use HTTPS connections in a production (split host) EUM Server installation, use a custom RSA security certificate for the EUM server. This page describes how to create an RSA security certificate, change the password for the credential keystore, and how to obfuscate a password for the security certificate keystore.   

    Anchor
    keystore
    keystore
    Set Up a Custom Keystore for Production

    In demo mode, the EUM Server uses a default self-signed certificate named ssugg.keystore. This certificate is intended for demonstration and light testing only. Do not use self-signed certificates for production systems since they are less secure than Certificate Authority (CA) signed certificates.  EUM requires that certificates use RSA as the key algorithm whether they are self-signed or CA-signed.  

    For Mobile Real User Monitoring, if you use the default or another self-signed certificate on your EUM Server for testing, you may receive the following error: "The certificate for this server is invalid". Ensure that your self-signed certificate is trusted by the simulator or device you use for testing. In real-world scenarios, a CA signed certificate should be used since a self-signed certificate needs to be explicitly trusted by every device that reports to your EUM processor. 

    To secure the EUM server with a custom certificate and keystore, generate a new JKS keystore and configure the EUM Server to use it.

    The following instructions describe how to create a JKS keystore for the EUM Server with a new key-pair or an existing key-pair.  Alternatively, you can also configure the EUM server to use an existing JKS keystore.

    The instructions demonstrate the steps with the Linux command line, but the commands are similar to the commands used for Windows. Make sure to adjust the paths for your operating system. 

    Overview of the Steps

    The procedure is made up of three parts:

    1. Create a new certificate and keystore (1a) or import an existing certificate into a keystore (1b).  
    2. Configure the EUM Server to use the keystore.
    3. Restart and test the new keystore.

    Step 1a: Create a New Certificate and Keystore

    1. At a command prompt, navigate to the eum-processor directory:

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. Create a new keystore with a new unique key pair that uses RSA encryption:

      Code Block
      ../jre/bin/keytool -genkey -keyalg RSA -validity <validity_in_days> -alias 'eum-processor' -keystore bin/mycustom.keystore

      This creates a new public-private key pair with an alias of "eum-processor". You can use any value you like for the alias. 

      Note

      The "first and last name" required during the installation process becomes the common name (CN) of the certificate. Use the name of the server.

    3. Configure the keystore.
    4. Specify a password for the keystore. You need to configure this password in the EUM configuration file later.  
    5. Generate a certificate signing request (CSR):

      Code Block
      ../jre/bin/keytool -certreq -keystore bin/mycustom.keystore -file /tmp/eum.csr -alias 'eum-processor'

      This generates a certificate signing request based on the contents of the alias, in the example "eum-processor". You should send the output file (/tmp/eum.csr, in the example) to a Certificate Authority for signing. After you receive the signed certificate, proceed as follows.

    6. Install the certificate for the Certificate Authority used to sign the .csr file:

      Code Block
      ../jre/bin/keytool -import -trustcacerts -alias myorg-rootca -keystore bin/mycustom.keystore -file /path/to/CA-cert.txt

      This command imports your CA's root certificate into the keystore and stores it in an alias called "myorg-rootca".

    7. Install the signed server certificate as follows:

      Code Block
      ../jre/bin/keytool -import -keystore bin/mycustom.keystore -file /path/to/signed-cert.txt  -alias 'eum-processor'

      This command imports your signed certificate over the top of the self-signed certificate in the existing alias, in the example, "eum-processor".

    8. Import the root certificate from step 6 to the Controller truststore:

      No Format
      keytool -import -trustcacerts -alias <alias_name> -file mycert.cer -keystore <complete_path_to_cacerts.jks>

    Step 1b: Import an Existing Certificate into a JKS Keystore

    If you have an existing public-private key pair that uses RSA, you must import them into a JKS keystore to use it for EUM.

    1. At a command prompt, navigate to the eum-processor directory:

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. Stop the EUM process.

      Run the following command:

      Code Block
      bin/eum.sh stop
    3. If there is an existing custom JKS keystore, back it up:

      Code Block
      mv <keystore>.jks <keystore>.jks.old
    4. Import the private and public key for your certificate into a PKCS12 keystore:

      Code Block
      openssl pkcs12 -inkey <private_key_file> -in <certificate_file> -export -out keystore.p12
    5. Convert the PKCS12 keystore to JKS format:

      Code Block
      keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore <JKS_keystore> -deststoretype JKS

      This command creates a JKS keystore with the name specified in the -destkeystore property.

    6. Specify a password for the keystore. Use this password when you configure EUM to use the new keystore.

    Step 2: Configure the EUM Server to Use the New Keystore

    1. Place the new keystore file in the following directory:  <appdynamics_home>/EUM/eum-processor/bin.

    2. Edit the eum.properties file in the bin directory.

    3. If the property processorServer.keyStorePassword is set, remove or uncomment it.
    4. Add the keystore filename as the following property:  

      No Format
      processorServer.keyStoreFileName=mycustom.keystore
    5. Configure the password for the keystore. You can add the password to the file either in plain text or in the obfuscated form:
      • For a plain text password, add the password as the value for this property: 

        No Format
        processorServer.keyStorePassword=mypassword
      • For an obfuscated password:  
        1. Get the obfuscated password by running the following command in the eum-processor directory in a new command terminal:

          No Format
          bin/eum-credential-key.<bat|sh> obfuscate -plaintext <newpassword>
        2. Copy the output of the command to your clipboard.
        3. In eum.properties, paste the obfuscated password as the value of the keyStorePassword property: 

          No Format
          processorServer.keyStorePassword=<obfuscated_key>
        4. Add the useObfuscatedKeyStorePassword with the value set to true, as shown:

          No Format
          processorServer.useObfuscatedKeyStorePassword=true
    6. Save and close the file.  

    Step 3: Restart and Test

    1. Restart the EUM Server. From the eum-processor directory, run the following commands:

      Code Block
      bin/eum.sh stop
      bin/eum.sh start
    2. Verify the new security certificate works by opening the following page in a browser:

      Code Block
      https://<hostname>:7002/eumcollector/get-version

      If you get a successful response, the configuration succeeded. 

    Anchor
    changecertpassword
    changecertpassword
    Change the Certificate Keystore Password

    The previous steps describe how to create a new keystore which is likely to have a new password. To change the keystore password without creating a new keystore, perform the following steps: 

    1. At a command prompt, navigate to the eum-processor directory:

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. Run the keytool command for creating a new password: 

      Code Block
      ../jre/bin/keytool -storepasswd -keystore bin/ssugg.keystore

      The sample command creates the password for the default demo keystore, ssugg.keystore. In your command, use the name of your own keystore as the value for -keystore. 

    3. Enter the existing password and new password when prompted. 

    4. Get the obfuscated key by running the following command in the eum-proccessor directory:

      No Format
      bin/eum-credential-key.<bat|sh> obfuscate -plaintext <newpassword>
    5. Copy the output of the previous command to your clipboard.
    6. In the eum.properties file in the eum-processor/bin directory, paste the obfuscated password as the value for the keyStorePassword property:

      No Format
      processorServer.keyStorePassword=<obfuscated_key>
    7. If you did not previously use an obfuscated password, add the following property: 

      No Format
      processorServer.useObfuscatedKeyStorePassword=true
    8. Save and close the file. 
    9. Restart the EUM Server. 

    Change the Credential Keystore Password for the EUM Database 

    When you install the EUM Server, you need to specify a password to use to secure the credential keystore for the EUM Server. After installation, you can change the password for the credential keystore. You may need to do this, for example, to comply with your organization's password rotation policy.

    Note that completing these procedures requires a restart of the EUM Server.  

    To change the existing EUM server credential keystore password: 

    1. At a command prompt, navigate to the eum-processor directory:

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. Generate a credential store with the new key using the following command:
      • On Linux:

        No Format
        bin/eum-credential-key.sh generate_ks -storepass <new_password>
      • On Windows:

        No Format
        bin\eum-credential-key.bat generate_ks -storepass <new_password>
      This creates and initializes a new credential file, bin/credential.scs. 
    3. Reencrypt the database password using the new credential store.
      • On Linux: 

        No Format
        bin/eum-credential-key.sh encrypt -storepass <new_password> -plaintext <DB_password>
      • On Windows:

        No Format
        bin\eum-credential-key.bat encrypt -storepass <new_password> -plaintext <DB_password>
      The command prints out the encrypted form of the DB_password value you entered. 
    4. Copy the output from the previous command to your clipboard.  
    5. Open bin/eum.properties for editing, and replace the value of the onprem.dbPassword setting with the new encrypted password you copied to your clipboard.
    6. Obfuscate the new credential key as follows:
      • On Linux:

        No Format
        bin/eum-credential-key.sh obfuscate -plaintext <new_password>
      • On Window:

        No Format
        bin\eum-credential-key.bat obfuscate -plaintext <new_password>
    7. Copy the output of the previous command to your clipboard and in eum.properties replace the value of onprem.credentialKey with the value from your clipboard. 
    8. Save and close the properties file.
    9. Restart the EUM server. 

    Change the EUM Database Password

    At EUM Server installation time, you set a password for the EUM database. You can change it later as follows:

    1. At a command prompt, navigate to the eum-processor directory:

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. Encrypt the new database password using the credential key which you entered during installation:
      • On Linux:

        No Format
        bin/eum-credential-key.sh encrypt -storepass <plain_credential_key> -plaintext <New_DB_password>
      • On Windows:

        No Format
        bin\eum-credential-key.bat encrypt -storepass <plain_credential_key> -plaintext <New_DB_password>

        The command prints out the encrypted form of the DB_password value you entered.

    3. Copy the output from the previous command to your clipboard. 
    4. Edit bin/eum.properties and replace the value of the onprem.dbPassword setting with the new encrypted password you copied to your clipboard. 
    5. Save and close the properties file.
    6. Restart the EUM server.


    Sv translation
    languageja

    Appd tocbox

    On this page:

    Table of Contents
    maxLevel2
    minLevel2

    実稼働環境(スプリットホスト)の EUM サーバのインストールで HTTPS 接続を使用する場合、EUM サーバ用にカスタムの RSA セキュリティ証明書を使用します。このページでは、RSA セキュリティ証明書を作成する方法と認証キーストア用のパスワードを変更する方法、セキュリティ証明書キーストアのパスワードを難読化する方法を説明します。   

    Anchor
    keystore
    keystore
    実稼働用カスタムキーストアの設定

    デモモードでは、EUM サーバに ssugg.keystore という名前のデフォルトの自己署名証明書が含まれています。この証明書はデモンストレーションおよびライトテストのみを目的としています。自己署名証明書は証明局(CA)署名済み証明書に比べて安全性に劣るため、実稼働システムには使用しないでください。EUM では、証明書が自己署名でも CA 署名でも、キーアルゴリズムとして RSA を使用する必要があります。  

    モバイル リアル ユーザ モニタリングでは、テスト用に EUM サーバでデフォルトまたは別の自己署名証明書を使用する場合に、「The certificate for this server is invalid」というエラーが表示されることがあります。この場合は、自己署名証明書が、テストに使用するシミュレーターまたはデバイスに信頼されていることを確認してください。実際のシナリオでは、自己署名証明書は EUM プロセッサに報告を行うすべてのデバイスに明示的に信頼されている必要があるため、CA 署名済み証明書を使用する必要があります。 

    カスタム証明書とキーストアで EUM サーバを保護するには、新しい JKS キーストアを作成し、そのキーストアを使用するよう EUM サーバを構成します。

    以下の手順では、新しいキーペアまたは既存のキーペアを使用するEUMサーバー用のJKSキーストアの作成方法を説明しています。または既存のJKSキーストアを使用するようEUMサーバーを構成することもできます。

    この手順はLinuxのコマンドラインでの流れを説明したものですが、Windowsでも同じようなコマンドを使用します。ご使用のオペレーティングシステムに合わせてパスを調整してください。 

    手順の概要

    手順は3つのパートに分かれています。

    1. 新しい証明書とキーストアを作成(1a)するか、既存の証明書をキーストアにインポート(1b)します。  
    2. キーストアを使用するよう、EUMサーバーを構成します。
    3. 再起動して新しいキーストアをテストします。

    ステップ1a:新しい証明書とキーストアの作成

    1. コマンドプロンプトで、eum-processorディレクトリに移動します。

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. RSA暗号化を使用した一意の新しいキーペアを持つ、新しいキーストアを作成します。

      Code Block
      ../jre/bin/keytool -genkey -keyalg RSA -validity <validity_in_days> -alias 'eum-processor' -keystore bin/mycustom.keystore

      これにより、「eum-processor」のエイリアスを持つ新しい公開鍵と秘密鍵のキーペアが作成されます。エイリアスには任意の値を使用できます。 

      Note

      インストールプロセス中に要求される「姓名」は、証明書のコモンネーム(CN)になります。サーバの名前を使用します。

    3. キーストアを構成します。
    4. キーストア用のパスワードを指定します。後から EUM 構成ファイルでこのパスワードを構成する必要があります。  
    5. 次のように、証明書の署名リクエスト(CSR)を作成します。

      Code Block
      ../jre/bin/keytool -certreq -keystore bin/mycustom.keystore -file /tmp/eum.csr -alias 'eum-processor'

      これにより、エイリアス(例では「eum-processor」)のコンテンツに基づいて証明書の署名リクエストが作成されます。署名のために出力ファイル(例では/tmp/eum.csr)を認証局(CA)に送信する必要があります。署名入り証明書を受け取ったら、次に進んでください。

    6. 以下のように、.csrファイルの署名に使用した認証局の証明書をインストールします。

      Code Block
      ../jre/bin/keytool -import -trustcacerts -alias myorg-rootca -keystore bin/mycustom.keystore -file /path/to/CA-cert.txt

      このコマンドにより、認証局(CA)のルート証明書がキーストアにインポートされ、「myorg-rootca」というエイリアスに保存されます。

    7. 次のように署名済みサーバー証明書をインストールします。

      Code Block
      ../jre/bin/keytool -import -keystore bin/mycustom.keystore -file /path/to/signed-cert.txt  -alias 'eum-processor'

      このコマンドにより、既存のエイリアス(例では「eum-processor」)の自己署名証明書の一番上に、署名入り証明書がインポートされます。

    8. 以下のように、ステップ6のルート証明書をコントローラのトラストストアにインポートします。

      No Format
      keytool -import -trustcacerts -alias <alias_name> -file mycert.cer -keystore <complete_path_to_cacerts.jks>

    ステップ1b:JKSキーストアへ既存の証明書をインポート

    RSAを使用した、既存の公開鍵と秘密鍵のキーペアがあり、それをEUMで使用する場合は、そのキーペアをJKSキーストアにインポートする必要があります。

    1. コマンドプロンプトで、eum-processorディレクトリに移動します。

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. EUMのプロセスを停止します。

      次のコマンドを実行します。

      Code Block
      bin/eum.sh stop
    3. 既存のカスタムJKSキーストアがある場合はバックアップします。

      Code Block
      mv <keystore>.jks <keystore>.jks.old
    4. 以下のように、PKCS12キーストアに証明書の秘密鍵と公開鍵をインポートします。

      Code Block
      openssl pkcs12 -inkey <private_key_file> -in <certificate_file> -export -out keystore.p12
    5. PKCS12キーストアをJKSフォーマットに変換します。

      Code Block
      keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore <JKS_keystore> -deststoretype JKS

      このコマンドにより、-destkeystoreプロパティで指定された名前を持つJKSキーストアが作成されます。

    6. キーストア用のパスワードを指定します。新しいキーストアを使用するようにEUMを構成する場合は、このパスワードを使用します。

    ステップ2:新しいキーストアを使用するようEUMサーバーを構成

    1. ディレクトリ <appdynamics_home>/EUM/eum-processor/bin に新しいキーストアファイルを置きます。

    2. bin ディレクトリの eum.properties ファイルを編集します。

    3. プロパティ processorServer.keyStorePassword が設定されている場合は、削除するかコメント解除します。
    4. キーストアのファイル名を以下のプロパティとして追加します。

      No Format
      processorServer.keyStoreFileName=mycustom.keystore
    5. キーストア用のパスワードを構成します。プレーンテキストまたは難読化された形式のいずれかでファイルにパスワードを追加できます。
      • プレーンテキストのパスワードの場合は、次のプロパティの値としてパスワードを追加します。

        No Format
        processorServer.keyStorePassword=mypassword
      • 難読化されたパスワードの場合:
        1. 新しいコマンドターミナルの eum-proccessor ディレクトリで以下のコマンドを実行し、難読化されたパスワードを取得します。

          No Format
          bin/eum-credential-key.<bat|sh> obfuscate -plaintext <newpassword>
        2. コマンドの出力結果をクリップボードにコピーします。
        3. eum.properties で、難読化されたパスワードを keyStorePassword プロパティの値として貼り付けます。

          No Format
          processorServer.keyStorePassword=<obfuscated_key>
        4. true に設定した useObfuscatedKeyStorePassword を、次のように追加します。

          No Format
          processorServer.useObfuscatedKeyStorePassword=true
    6. ファイルを保存してテキストエディタを終了します。  

    ステップ3:再起動とテスト

    1. EUMサーバーを再起動します。eum-processorディレクトリから、以下のコマンドを実行します。

      Code Block
      bin/eum.sh stop
      bin/eum.sh start
    2. ブラウザで以下のページを開き、新しいセキュリティ証明書が機能していることを確認します。

      Code Block
      https://<hostname>:7002/eumcollector/get-version

      正常な応答があれば、構成は成功しています。 

    Anchor
    changecertpassword
    changecertpassword
    認証キーストアのパスワードの変更

    上記の手順では、新しいパスワードを持つ可能性のある新しいキーストアの作成方法を説明しています。新しいキーストアを作成せずにキーストアのパスワードを変更するには、次の手順を実施します。

    1. コマンドプロンプトで、eum-processorディレクトリに移動します。

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. キーツールコマンドを実行して新しいパスワードを作成します。

      Code Block
      ../jre/bin/keytool -storepasswd -keystore bin/ssugg.keystore

      サンプルのコマンドでは、デフォルトのデモキーストアであるssugg.keystoreのパスワードが作成されます。実際にコマンドを使用する際は、-keystore の値をご使用の環境にあるキーストアの名前にしてください。 

    3. プロンプトが表示されたら、既存のパスワードと新しいパスワードを入力します。 

    4. eum-proccessorディレクトリで以下のコマンドを実行し、難読化されたキーを取得します。

      No Format
      bin/eum-credential-key.<bat|sh> obfuscate -plaintext <newpassword>
    5. 前のコマンドの出力結果をクリップボードにコピーします。
    6. 以下のように、eum-processor/binディレクトリにあるeum.propertiesファイルで、難読化されたパスワードをkeyStorePasswordプロパティの値として貼り付けます。

      No Format
      processorServer.keyStorePassword=<obfuscated_key>
    7. 難読化されたパスワードを初めて使う場合は、以下のプロパティを追加します。

      No Format
      processorServer.useObfuscatedKeyStorePassword=true
    8. ファイルを保存してテキストエディタを終了します。 
    9. EUMサーバーを再起動します。 

    EUM データベース用認証キーストアパスワードの変更 

    EUMサーバーをインストールする際、EUMサーバーの認証キーストア保護に使用するパスワードを指定する必要があります。認証キーストアのパスワードはインストール後に変更できます。たとえば、パスワードを定期的に変更するという組織のポリシーに応じるのに、その必要が出てくる場合があります。

    この手順を完了させるには EUM サーバの再起動が必要となります。  

    EUMサーバーの、既存の認証キーストアのパスワードを変更するには以下のようにします。

    1. コマンドプロンプトで、eum-processorディレクトリに移動します。

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. 次のコマンドを使用して、新しい鍵で認証ストアを生成します。
      • Linuxの場合:

        No Format
        bin/eum-credential-key.sh generate_ks -storepass <new_password>
      • Windowsの場合:

        No Format
        bin\eum-credential-key.bat generate_ks -storepass <new_password>
      これにより新しい認証ファイル、bin/credential.scs が作成され初期化されます。 
    3. 新しい認証ストアを使用してデータベースパスワードを再暗号化します。
      • Linuxの場合:

        No Format
        bin/eum-credential-key.sh encrypt -storepass <new_password> -plaintext <DB_password>
      • Windowsの場合:

        No Format
        bin\eum-credential-key.bat encrypt -storepass <new_password> -plaintext <DB_password>
      このコマンドは入力したDB_password値を暗号化した形式で出力します。 
    4. 前のコマンドの出力結果をクリップボードにコピーします。  
    5. 編集する bin/eum.properties を開き、クリップボードにコピーした、暗号化された新しいパスワードで onprem.dbPassword 設定の値を置き換えます。
    6. 新しい認証キーを以下のように難読化します。
      • Linuxの場合:

        No Format
        bin/eum-credential-key.sh obfuscate -plaintext <new_password>
      • Windowsの場合:

        No Format
        bin\eum-credential-key.bat obfuscate -plaintext <new_password>
    7. 前のコマンドの出力結果をクリップボードにコピーし、その値で eum.propertiesonprem.credentialKey の値を置き換えます。 
    8. プロパティファイルを保存して閉じます。
    9. EUMサーバーを再起動します。 

    EUMデータベースパスワードの変更

    EUM サーバをインストールする際に、EUM データベース用パスワードを設定しています。これを後で変更するには、次の手順を実行します。

    1. コマンドプロンプトで、eum-processorディレクトリに移動します。

      Code Block
      cd <appdynamics_home>/EUM/eum-processor
    2. インストール時に入力した認証キーを使い、新しいデータベースパスワードを暗号化します。
      • Linuxの場合:

        No Format
        bin/eum-credential-key.sh encrypt -storepass <plain_credential_key> -plaintext <New_DB_password>
      • Windowsの場合:

        No Format
        bin\eum-credential-key.bat encrypt -storepass <plain_credential_key> -plaintext <New_DB_password>

        このコマンドは入力したDB_password値を暗号化した形式で出力します。

    3. 前のコマンドの出力結果をクリップボードにコピーします。 
    4. bin/eum.properties を編集し、クリップボードにコピーした、暗号化された新しいパスワードで onprem.dbPassword 設定の値を置き換えます。 
    5. プロパティファイルを保存して閉じます。
    6. EUMサーバーを再起動します。