1. セキュリティ・ガイド
  2. Oracle NoSQL Databaseをセキュアに保つ方法
  3. TLSV1.3プロトコルを有効にするためのガイドライン

TLSV1.3プロトコルを有効にするためのガイドライン

TLSv1.3を有効にするためのTLSプロトコル構成の更新

Oracle NoSQL Databaseが、TLSv1.3プロトコルをサポートするようになりました。NoSQL DatabaseおよびアプリケーションをTLSv1.3で実行するには、JDK11以降、JDK8 Update 261 (JDK 8u261)以降を使用する必要があります。21.3リリース以降、NoSQL Databaseは、makebootconfigまたはsecurityconfigユーティリティを介して作成されたセキュリティ構成のデフォルトのTLSプロトコルにTLSv1.3プロトコルを追加します。既存のセキュリティ構成のTLSプロトコルは、最新のプロトコルTLSv1.3が最もセキュアであるため、これに更新することをお薦めします。

TLSv1.3プロトコルの有効化

これは、既存のセキュリティ構成を更新してプロトコルTLSv1.3を有効にする手順です。既存のセキュリティ構成は、TLSv1.2が有効になっているNoSQL Databaseの以前のリリースによって作成されていることを前提にしています。
  1. クライアント・アプリケーションのログイン・プロパティを更新します。oracle.kv.ssl.protocolsが存在する場合は、これにTLSv1.3を追加します。次に、クライアント・アプリケーションを再起動して、プロトコルの変更を有効にします。
    oracle.kv.ssl.protocols="TLSv1.3,TLSv1.2"
  2. ストレージ・ノードの既存のセキュリティ構成ディレクトリの2つのコピーを作成します。1つはバックアップとして、もう1つはプロトコルの更新のために保持します。

    ノート:

    このステップは、前のステップでのクライアント・アプリケーションの変更とは対照的に、NoSQL Databaseサーバーで使用されるストレージ・ノードのセキュリティ構成を更新するためのものです。
  3. コピーしたセキュリティ構成ディレクトリ内のSSLプロトコルを更新します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig \
config update -secdir security \
-param "allowProtocols=TLSv1.3,TLSv1.2" \
-param "clientAllowProtocols=TLSv1.3,TLSv1.2"
  4. 更新されたセキュリティ構成内のプロトコルにTLSv1.3があるかどうかを確認します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig config 
show -secdir $KVROOT/security
    プロトコルにTLSv1.3があるかどうかを確認します。
  5. 更新されたセキュリティ・ディレクトリを各ストレージ・ノードにコピーし、古いセキュリティ構成ディレクトリを置き換えます。次に、すべてのレプリケーション・ノード(RN)がオンラインであることを確認し、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。
    java -jar $KVHOME/lib/kvstore.jar stop -root $KVROOT 
java -jar $KVHOME/lib/kvstore.jar start -root $KVROOT&
  6. 管理CLIを起動し、pingコマンドを使用して、すべてのレプリケーション・ノード(RN)が稼働中であることを確認します。 
    java -jar $KVHOME/lib/kvstore.jar runadmin -host localhost -port 5000 -security
$KVROOT/security/client.security
    出力:
    Logged in admin as anonymous
    kv-> ping

TLSプロトコルをTLSv1.3のみに更新

これは、NoSQL Databaseセキュリティ構成でTLSv1.3のみを有効化する手順です。既存のセキュリティ構成にすでにTLSv1.3プロトコルがあることを前提としています。そうでない場合は、最後の手順に従ってTLSv1.3を先に有効化します。

この変更後、すべてのクライアント・アプリケーションは、TLSv1.3プロトコルを使用したNoSQL DatabaseとのTLS接続のみを確立できます。この変更の前に、クライアント・アプリケーションのログイン・プロパティ・ファイルのoracle.kv.ssl.protocolsでTLSv1.3が有効になっていることを確認する必要があります。それ以外の場合は、「TLSv1.3プロトコルの有効化」の項に従って、最初にTLSv1.3を有効にします。
  1. 既存のセキュリティ構成ディレクトリの2つのコピーを作成します。1つはバックアップとして保持し、もう1つはプロトコルの更新に使用します。
  2. コピーしたセキュリティ構成ディレクトリ内のSSLプロトコルを更新します。
    java -jar $KVHOME/lib/kvstore.jar securityconfig \
config update -secdir security \
-param "allowProtocols=TLSv1.3" \
-param "clientAllowProtocols=TLSv1.3"
  3. 更新されたセキュリティ構成のプロトコルにTLSv1.3のみがあるかどうかを確認します。
    java -jar kv/lib/kvstore.jar securityconfig config 
show -secdir KVROOT/security

    プロトコルにTLSv1.3のみがあるかどうかを確認します。

  4. 更新されたセキュリティ・ディレクトリを各ストレージ・ノードにコピーし、古いセキュリティ構成ディレクトリを置き換えます。次に、すべてのレプリケーション・ノード(RN)がオンラインであることを確認し、次のコマンドを使用して、各ストレージ・ノードを1つずつ再起動します。
    java -jar $KVHOME/lib/kvstore.jar stop -root $KVROOT 
java -jar $KVHOME/lib/kvstore.jar start -root $KVROOT&
  5. 管理CLIを起動し、pingコマンドを使用して、すべてのレプリケーション・ノード(RN)が稼働中であることを確認します。 
    java -jar $KVHOME/lib/kvstore.jar runadmin -host localhost -port 5000 -security
$KVROOT/security/client.security
    出力:
    Logged in admin as anonymous
    kv-> ping