SSL の構成
インストール時に、各アプリケーションは次のように構成されます。
-
サーバー認証を要求する暗号群をサポートする
-
クライアント認証は要求しない
-
N1SPS5.0-home/app/data/private.store ファイル内のプライベートキーストアを検出する
-
N1SPS5.0-home/app/data/trust.store ファイル内のトラストキーストアを検出する
-
各キーストアに空のパスワードを渡す
アプリケーションごとに、次のセキュリティチェックが行われるように SSL 構成を変更することができます。
-
各アプリケーションの暗号群を選択的に有効化します。
有効化する暗号群を明示的に指定できます。指定しない場合、リファレンス実装はデフォルトで有効になっている暗号群を使用します。リファレンス実装によって有効化されるデフォルトの暗号群は、サーバー認証を要求します。サポートされる暗号群については、「SSL 暗号群」を参照してください。
-
接続を求めてくる SSL クライアントをアプリケーションが認証するように指定します。
-
プライベートキーストアおよびトラストキーストアの場所とパスワードを指定します。
注 –
認証を有効にするには、アプリケーションをインストールしたあとでキーストアを初期化する必要があります。
SSL を構成する
手順
-
システムのブート時に自動的に起動するように N1 Grid Service Provisioning System アプリケーションを設定する場合。
-
Windows サーバーでは、N1 Grid Service Provisioning System アプリケーションはキーストアパスワードを求めるプロンプトを表示しません。このため、Windows サーバー上で SSL を使用するように構成されるアプリケーションはすべて、このパラメータを指定する必要があります。
-
CLI アプリケーションは、キーストアパスワードを求めるプロンプトを表示しません。このため、SSL を使用するように構成する CLI Client はすべてこのパラメータを指定する必要があります。
-
Local Distributor が SSH 経由でその親に接続される場合、Local Distributor はパスワードを求めるプロンプトを表示できません。
(省略可能) config.properties ファイルを手動で編集し、SSL 構成を変更します。
次に、config.properties ファイル内の SSL 構成関連の設定を示します。使用する SSL 接続の種類に応じて、パラメータを変更してください。
|
パラメータ |
デフォルト値 |
説明 |
|---|---|---|
|
net.ssl.cipher.suites |
SSL_RSA_WITH_3DES_EDE_CBC_SHA |
有効にする SSL 暗号群をコンマで区切って表示します。サポートされる SSL 暗号群については、「SSL 暗号群」を参照してください。 |
|
net.ssl.client.auth |
false |
SSL サーバーで、接続するクライアントを認証するかどうかを指定します。 |
|
net.ssl.key.store.pass |
|
キーストアのパスワード。場合に応じて要求されます。詳細については、以下を参照してください。 |
注 –
net.ssl.key.store.pass パラメータは、N1 Grid Service Provisioning System 5.0 アプリケーションの SSL キーストアパスワードを指定します。このパラメータは、SSL キーストアを使用してアプリケーションを構成するが、アプリケーションの起動時にそのキーストアのパスワードを尋ねるプロンプトを表示させないようにする場合に使用してください。次のような場合には、このパラメータを指定する必要があります。
- © 2010, Oracle Corporation and/or its affiliates