SSL の設定
ビルド番号の確認方法
EventLog Analyzer の Webクライアントにて、画面上部にある ヘルプ > バージョン情報 のリンクをクリックします。 ビルドバージョンの下部に、ビルド番号が表示されます。 この番号が、現在インストールされているEventLog Analyzerのビルド番号になります。
セキュア通信設定 - SSL
SSLプロトコルは、Webトラフィックのセキュアな伝送を有効にします。 これらの機能は、データ暗号化、サーバー認証、メッセージ整合性を含みます。
SSLを使用して、WebクライアントからEventLog Analyzer サーバー間でにセキュアコミュニケーションを有効にすることが可能です。
メモ: このページでは、SSL機能の有効化と認証作成方法について説明します。
ネットワーク設定とセキュリティニーズによっては、このドキュメント以外の設定や確認が必要な場合があります。 詳細設定に関しては、 http://www.apache.orgなどのSSLリソースを参照してください。
EventLog Analyzer バージョン 8.0 (ビルド 8010)以降の手順
- 既存のkeystoreを使用
- 既存のSSL証明書を使用
- 新規keystore作成方法、証明書署名要求(CSR)生成とEventLogAnalyzerniSSL証明書インストール方法
- HTTPの無効化
- HTPPSの有効化(SSL)
- SSLセットアップの検証
- 64ビット/128ビットに対するHTTPSパラメーターの設定
既存のkeystoreを使用
- EventLog Analyzerサーバー/サービスを停止します。
- HTTPSを設定するための keystore ファイルを所有している場合、そのファイルを<EventLog Analyzer Home>\server\conf ディレクトリに置いて、 "chap8.keystore"に名前を変更します。
- HTTPの無効化
- HTPPSの有効化(SSL)
- SSLセットアップの検証
既存のSSL証明書を使用
- .pfxファイルにワイルドカード証明書をエクスポートします。また、次の手順を行います。
- EventLog Analyzerサービスを停止します。
- .pfxファイルをEventLog Analyzer Home>\server\confにコピーします。
- <EventLog Analyzer Home>\confディレクトリに移動し、server.xmlを開き、次のように編集します。
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8400" SSLEnabled="true" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore"
keystorePass="eventlog" maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https"
secure="true" sslProtocol="TLS" URIEncoding="UTF-8"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
- ファイル名をchap8.keystore 、 <pfx file name>.pfx のように変更し、 keystoreType="pkcs12"を入力します。 keystorePass を 'eventlog' .pfx ファイルのパスワードに設定します。
- 実際には、次のように入力します。
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
scheme="https"
secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/<pfx file name>.pfx"
keystoreType="pkcs12"
keystorePass="<password for the .pfx file>"
sslProtocol = "TLS"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
- EventLog Analyzerを再起動します。
新規keystore作成方法、証明書署名要求(CSR)生成とEventLogAnalyzerniSSL証明書インストール方法
次の手順でSSLをインストールします:
keystoreを所持していない場合、次の手順で新規keystoreを作成します。
- コマンドプロンプトで <EventLog Analyzer Home>\jre\bin\ に移動し、次のコマンドを実行します。
"<EventLog Analyzer Home>\jre\bin\keytool" -genkey -alias <our_alias_name>(
または [Domain Name]) -keyalg RSA -keystore chap8.keystore
例: "<EventLog Analyzer Home>\jre\bin\keytool" -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore
例えば、インストールディレクトリが C:\ManageEngine\EventLog の場合、上記コマンドは、 "C:\ManageEngine\EventLog\jre\bin\keytool" -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore
- 上記コマンドを実行すると、keystoreのパスワード入力を求められます。 'eventlog'を入力します。
- 次の6つの質問に答えます。
- first and last name
- organizational unit
- organization
- city
- state
- country code
- confirmation type に 'y' を入力し、'Enter' を押下します。
- Tomcatのパスワードを入力し'Enter'を押下します。 ファイル名 'chap8.keystore' のkeystoreが <EventLog Analyzer Home>\server\conf に作成されます。
ステップ2: keystoreからCSRを作成
- keytoolを利用してkeystoreから Certificate Signing Request (CSR) を作成する場合、コマンドプロンプトで <EventLog Analyzer Home>\jre\bin\ に移動し、次のコマンドを実行します。
keytool -certreq -alias <your_alias_name>( または [Domain Name])
-file csr.txt -keystore chap8.keystore
(例: keytool -certreq -alias tomcat -file csr.txt -keystore chap8.keystore)
- 事前に設定したkeysoreのパスワードを入力し 'Enter'を押下します。
- カレントディレクトリにファイル名csr.txtのCSRが作成されます。 テキストエディター でCSRを開き、コピー(BEGIN、ENDタグを含む)後、Certifying Authority (CA) Webオーダーフォームにコピーします。 後ほど使用するため、keystoreファイル(chap8.keystore)を保存するようにご注意ください。
ステップ 3: SSL証明書のインストール方法
- CAからの証明書をCSR作成時に使用したkeystoreを保存しているディレクトリにダウンロードします。 証明書は適切なkeystoreにインストールする必要があります。 違うkeystoreにインストールをした場合、SSL証明は動作しません。 つまり、ダウンロードした証明書はステップ1、2で作成/使用したkeystoreにインストールする必要があります。 適切にインストールされない場合、証明書は適切に認証されません。
- ルート証明書のインストール:
- keystoreに証明書をインストールするたびに、CSR作成の際に割り当てたkeystoreのパスワードのためにプロンプトが表示されます。
- ルート証明書をインストールするため、コマンドプロンプトで <EventLog Analyzer Home>\jre\bin\ に移動し、次のコマンドを実行します。
keytool -import -trustcacerts -alias root -file TrustedRoot.crt
-keystore chap8.keystore
メモ:
次のようなメッセージが表示される場合、'Yes'を入力します。"Certificate already exists in system-wide CA
keystore under alias <entrustsslca> Do you still want to add it to your own
keystore? [no]:" "Certificate was added to keystore"のように確認できます。
- 必要な場合は、中間証明書をインストールします。 (CAによって指示される場合)
- プライマリー証明書のインストール:
- プライマリー証明書をインストールするため、コマンドプロンプトで <EventLog Analyzer Home>\jre\bin\ に移動し、次のコマンドを実行します。
- 証明書がkeystore(keystore.key)にインストールされます。このkeystoreを使用するにはサーバーの設定を行う必要があります。
keytool -import -trustcacerts -alias tomcat -file <your_domain_name>.crt
-keystore chap8.keystore
'Certificate reply was installed in keystore' のようなメッセージが表示され、証明書をインストールする場合は、'y' または 'yes'を選択します。
HTTPの無効化
SSLを有効にしている場合、HTTPはウェブサーバーポート(デフォルトは8400)は引き続き有効化されています。 HTTPを無効化するには、次のステップを参照してください:
- <EventLog Analyzer Home>/confディレクトリの server.xml を編集します。
- 次のラインの下に、<!-- と -->タグを使用して、HTTP接続パラメーターをコメントアウトします。
<Connector port="8400" SSLEnabled="false"
acceptCount="100" address="0.0.0.0" clientAuth="false"
compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024"
connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="http"
secure="false" URIEncoding="UTF-8"/>
HTPPSの有効化(SSL)
- 上記と同じファイルから、HTTPS接続パラメーターを有効にします。 次のラインの下にある、<!-- と -->タグを外します。
<!--
<Connector port="8400"
SSLEnabled="true" acceptCount="100" address="0.0.0.0" clientAuth="false"
compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024"
connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false"
keystoreFile="./conf/chap8.keystore" keystorePass="eventlog"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https"
secure="true" sslProtocol="TLS" URIEncoding="UTF-8"/>
-->
メモ: keystoreファイルの作成時、パスワードは自由に指定できます。
server.xmlファイルには、必ず同じパスワードが指定されていることを確認してください。
パスワード例はeventlogと設定されています。
SSLセットアップの検証
- EventLog Analyzer サーバーを再起動します。
- サーバー起動後、次のメッセージが表示されるか確認します:
Server started.
Please connect your client at
http://localhost:8400
- https://<hostname>:8400 をブラウザーのアドレスバーに指定して、サーバーに接続します。(<hostname> は EventLog Analyzer が起動しているマシン名です)
64ビット/128ビットに対するHTTPSパラメーターの設定
HTTPS接続パラメーターを、64bit または 128ビットの暗号化で設定する場合、 <EventLog Analyzer Home>/conf
ディレクトリに配置されている server.xml のSSL/TLS Connector タグの後ろに、次のパラメーターを追加します。
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8400" SSLEnabled="true" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore"
keystorePass="eventlog" maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https"
secure="true" sslProtocol="TLS" URIEncoding="UTF-8" SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
EventLog Analyzer バージョン 8.0 (ビルド 8000)以下の手順
- 既存のkeystoreを使用
- 既存のSSL証明書を使用
- 新規keystore作成方法、証明書署名要求(CSR)生成とEventLogAnalyzerniSSL証明書インストール方法
- HTTPの無効化
- HTPPSの有効化(SSL)
- SSLセットアップの検証
- 64ビット/128ビットに対するHTTPSパラメーターの設定
既存のkeystoreを使用
- EventLog Analyzerサーバー/サービスを停止します。
- HTTPSを設定するための keystore ファイルを所有している場合、そのファイルを<EventLog Analyzer Home>\server\conf ディレクトリに置いて、 "chap8.keystore"に名前を変更します。
- HTTPの無効化
- HTPPSの有効化(SSL)
- SSLセットアップの検証
既存のSSL証明書を使用
- .pfxファイルにワイルドカード証明書をエクスポートします。また、次の手順を行います。
- EventLog Analyzerサービスを停止します。
- .pfxファイルをEventLog Analyzer Home>\server\default\confにコピーします。
- <EventLog Analyzer Home>\server\default\deploy\jbossweb-tomcat50.sarディレクトリに移動し、server.xmlを開き、次のように編集します。
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
scheme="https"
secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"
keystorePass="rmi+ssl"
sslProtocol = "TLS"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
- ファイル名をchap8.keystore 、 <pfx file name>.pfx のように変更し、 keystoreType="pkcs12"を入力します。 keystorePass を 'rmi+ssl' .pfx ファイルのパスワードに設定します。
- 実際には、次のように入力します。
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
scheme="https"
secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/<pfx file name>.pfx"
keystoreType="pkcs12"
keystorePass="<password for the .pfx file>"
sslProtocol = "TLS"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
- EventLog Analyzerを再起動します。
新規keystore作成方法、証明書署名要求(CSR)生成とEventLogAnalyzerniSSL証明書インストール方法
次の手順でSSLをインストールします:
keystoreを所持していない場合、次の手順で新規keystoreを作成します。
- コマンドプロンプトで <EventLog Analyzer Home>\server\default\conf に移動し、次のコマンドを実行します。
"<EventLog Analyzer Home>\server\default\conf\keytool"
-genkey -alias <our_alias_name>( または [Domain Name]) -keyalg RSA -keystore
chap8.keystore
例: "<EventLog Analyzer Home>\server\default\conf\keytool" -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore
例えば、インストールディレクトリが C:\ManageEngine\EventLog の場合、上記コマンドは、 "C:\ManageEngine\EventLog\server\default\conf\keytool" -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore
- 上記コマンドを実行すると、keystoreのパスワード入力を求められます。 'eventlog'を入力します。
- 次の6つの質問に答えます。
- first and last name
- organizational unit
- organization
- city
- state
- country code
- confirmation type に 'y' を入力し、'Enter' を押下します。
- Tomcatのパスワードを入力し'Enter'を押下します。 ファイル名 'chap8.keystore' のkeystoreが <EventLog Analyzer Home>\server\default\conf に作成されます。
ステップ2: keystoreからCSRを作成
- keytoolを利用してkeystoreから Certificate Signing Request (CSR) を作成する場合、コマンドプロンプトで <EventLog Analyzer Home>\server\default\conf に移動し、次のコマンドを実行します。
keytool -certreq -alias <your_alias_name>( または [Domain Name])
-file csr.txt -keystore chap8.keystore
(例: keytool -certreq -alias tomcat -file csr.txt -keystore chap8.keystore)
- 事前に設定したkeysoreのパスワードを入力し 'Enter'を押下します。
- カレントディレクトリにファイル名csr.txtのCSRが作成されます。 テキストエディター でCSRを開き、コピー(BEGIN、ENDタグを含む)後、Certifying Authority (CA) Webオーダーフォームにコピーします。 後ほど使用するため、keystoreファイル(chap8.keystore)を保存するようにご注意ください。
ステップ3: SSL証明書のインストール方法
- CAからの証明書をCSR作成時に使用したkeystoreを保存しているディレクトリにダウンロードします。 証明書は適切なkeystoreにインストールする必要があります。 違うkeystoreにインストールをした場合、SSL証明は動作しません。 つまり、ダウンロードした証明書はステップ1、2で作成/使用したkeystoreにインストールする必要があります。 適切にインストールされない場合、証明書は適切に認証されません。
- ルート証明書のインストール:
- keystoreに証明書をインストールするたびに、CSR作成の際に割り当てたkeystoreのパスワードのためにプロンプトが表示されます。
- ルート証明書をインストールするため、コマンドプロンプトで <EventLog Analyzer Home>\server\default\conf に移動し、次のコマンドを実行します。
keytool -import -trustcacerts -alias root -file TrustedRoot.crt
-keystore chap8.keystore
メモ:
次のようなメッセージが表示される場合、'Yes'を入力します。"Certificate already exists in system-wide CA
keystore under alias <entrustsslca> Do you still want to add it to your own
keystore? [no]:" "Certificate was added to keystore"のように確認できます。
- 必要な場合は、中間証明書をインストールします。 (CAによって指示される場合)
- プライマリー証明書のインストール:
- プライマリー証明書をインストールするため、コマンドプロンプトで <EventLog Analyzer Home>\server\default\conf に移動し、次のコマンドを実行します。
- 証明書がkeystore(keystore.key)にインストールされます。このkeystoreを使用するにはサーバーの設定を行う必要があります。
keytool -import -trustcacerts -alias tomcat -file <your_domain_name>.crt
-keystore chap8.keystore
'Certificate reply was installed in keystore' のようなメッセージが表示され、証明書をインストールする場合は、'y' または 'yes'を選択します。
HTTPの無効化
SSLを有効にしている場合、HTTPはウェブサーバーポート(デフォルトは8080)は引き続き有効化されています。 HTTPを無効化するには、次のステップを参照してください:
- <EventLog Analyzer Home>\server\default\deploy\jbossweb-tomcat50.sarディレクトリの server.xml を編集します。
- 次のラインの下に、<!-- と -->タグを使用して、HTTP接続パラメーターをコメントアウトします。
<Connector port="8080"
address="${jboss.bind.address}"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="20000" disableUploadTimeout="true"/>
HTPPSの有効化(SSL)
- 上記と同じファイルから、HTTPS接続パラメーターを有効にします。 次のラインの下にある、<!-- と -->タグを外します。
<!--
<Connector port="8443"
address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5"
maxSpareThreads="15"
scheme="https" secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"
keystorePass="rmi+ssl"
sslProtocol = "TLS" />
-->
メモ: keystoreファイルの作成時、パスワードは自由に指定できます。
server.xmlファイルには、必ず同じパスワードが指定されていることを確認してください。
パスワード例はrmi+sslと設定されています。
SSLセットアップの検証
- EventLog Analyzer サーバーを再起動します。
- サーバー起動後、次のメッセージが表示されるか確認します:
Server started.
Please connect your client at
http://localhost:8500
- https://<hostname>:8500 をブラウザーのアドレスバーに指定して、サーバーに接続します。(<hostname> は EventLog Analyzer が起動しているマシン名です)
64ビット/128ビットに対するHTTPSパラメーターの設定
HTTPS接続パラメーターを、64bit または 128ビットの暗号化で設定する場合、 <EventLog Analyzer Home>\server\default\deploy\jbossweb-tomcat50.sar
ディレクトリに配置されている server.xml のSSL/TLS Connector タグの後ろに、次のパラメーターを追加します。
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"
<!-- SSL/TLS Connector configuration using the admin devl guide
keystore -->
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
scheme="https"
secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"
keystorePass="rmi+ssl"
sslProtocol = "TLS"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>