1. セキュリティ・ガイド
  2. Oracle NoSQL Databaseをセキュアに保つ方法
  3. TLSv1.1およびTLSv1プロトコルを無効にするためのガイドライン

TLSv1.1およびTLSv1プロトコルを無効にするためのガイドライン

TLSプロトコル構成をTLSv1.2のみに更新

NoSQLデータベースでは、デフォルトのセキュリティ構成でTLSv1およびTLSv1.1プロトコルが無効になっており、有効なプロトコルはTLSv1.2のみです。

アップグレードの意味:

この変更によって、TLSv1.1およびTLSv1.2のサポートは削除されませんが、デフォルトのセキュリティ構成でのみ無効になります。以前のリリースで作成されたセキュリティ構成で24.1.11リリースにアップグレードしても互換性の問題はありませんが、既存のNoSQL DatabaseインストールでTLSv1.1およびTLSv1を無効にすることをお薦めします。

前提条件:

TLSプロトコルをTLSv1.2にのみ更新する前に、既存のセキュリティ構成でTLSv1.2プロトコルがすでに有効になっていることを確認する必要があります。そうしないと、更新中にNoSQL Databaseサーバーが機能しません。
  1. NoSQL Databaseサーバーのセキュリティ構成のプロトコル設定で、TLSv1.2プロトコルが有効になっているかどうかを確認します。securityconfigユーティリティを実行して、プロトコルにTLSv1.2が含まれているかどうかを確認します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig config show -secdir
      $KVROOT/security

    セキュリティ構成のプロトコルにTLSv1.2がない場合は、「TLSv1.2プロトコルの有効化」の項に従ってTLSv1.2を最初に有効にします。

  2. クライアント・アプリケーションのログイン・プロパティを確認します。次のNoSQLログイン・プロパティにTLSv1.2があるかどうかを確認します。
    たとえば:
    oracle.kv.ssl.protocols="TLSv1.2,TLSv1.1,TLSv1"

    TLSv1.2を追加し、クライアント・アプリケーションがこのセキュリティ・プロパティで指定されていない場合は再起動します。

TLSv1.2プロトコルの有効化

これは、NoSQL Databaseセキュリティ構成でTLSv1.2を有効化する手順です。既存のセキュリティ構成でTLSv1.1およびTLSv1のみが有効になっていることを前提としています。
  1. 既存のセキュリティ構成ディレクトリの2つのコピーを作成します。1つはバックアップとして保持し、もう1つはプロトコルの更新に使用します。
  2. コピーしたセキュリティ構成ディレクトリ内のSSLプロトコルを更新します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig \
 config update -secdir security \
 -param "allowProtocols=TLSv1.2,TLSv1.1,TLSv1" \
 -param "clientAllowProtocols=TLSv1.2,TLSv1.1,TLSv1"
  3. 更新されたセキュリティ構成内のプロトコルでTLSv1.2が有効になっているかどうかを確認します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig config show -secdir
      $KVROOT/security

    プロトコルにTLSv1.2があるかどうかを確認します。

  4. 更新されたセキュリティ・ディレクトリを各ストレージ・ノードにコピーし、古いセキュリティ構成ディレクトリを置き換えます。次に、すべてのレプリケーション・ノード(RN)がオンラインであることを確認し、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。
    java -jar $KVHOME/lib/kvstore.jar stop -root $KVROOT 
java -jar $KVHOME/lib/kvstore.jar start -root $KVROOT&
  5. 管理CLIを起動し、pingコマンドを使用して、すべてのレプリケーション・ノード(RN)が稼働中であることを確認します。 
    java -jar $KVHOME/lib/kvstore.jar runadmin -host localhost -port 5000 -security
$KVROOT/security/client.security
    出力:
    Logged in admin as anonymous
    kv-> ping

TLSプロトコルをTLSv1.2のみに更新

これは、プロトコルTLSv1.2のみを有効にするように既存のセキュリティ構成を更新する手順です。セキュリティ構成でTLSv1.2がすでに有効になっていることを前提としています。
  1. クライアント・アプリケーションのログイン・プロパティを更新します。oracle.kv.ssl.protocolsを更新して、TLSv1.2のみ(存在する場合)にします。
  2. 既存のセキュリティ構成ディレクトリの2つのコピーを作成します。1つはバックアップとして保持し、もう1つはプロトコルの更新に使用します。
  3. コピーしたセキュリティ構成ディレクトリ内のSSLプロトコルを更新します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig \
config update -secdir security \
-param "allowProtocols=TLSv1.2" -param "clientAllowProtocols=TLSv1.2"
  4. 更新されたセキュリティ構成内のプロトコルにTLSv1.2のみが含まれているかどうかを確認します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig config show -secdir
      $KVROOT/security

    プロトコルにTLSv1.2のみが含まれているかどうかを確認します。

  5. 更新されたセキュリティ・ディレクトリを各サーバー・ノード(ストレージ・ノード)にコピーし、古いセキュリティ構成ディレクトリを置き換えます。次に、すべてのレプリケーション・ノードがオンラインであることを確認し、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。
    java -jar $KVHOME/lib/kvstore.jar stop -root $KVROOT 
java -jar $KVHOME/lib/kvstore.jar start -root KVROOT&
  6. 管理CLIを起動し、pingコマンドを使用して、すべてのレプリケーション・ノード(RN)が稼働中であることを確認します。 
    java -jar $KVHOME/lib/kvstore.jar runadmin -host localhost -port 5000 -security
$KVROOT/security/client.security
    出力:
    Logged in admin as anonymous
    kv-> ping