MID サーバー用の SSL 証明書を追加する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • SSL 経由でソースにコネクトするように MID サーバーを設定します。

    始める前に

    必要なロール:admin
    セキュリティフェーズのインジケーターを設定するMID サーバーがネットワークの内部と外部の要素に接続できることを確認するMID サーバーを Linux または Windows ホストにダウンロードしてインストールするMID サーバーを構成MID サーバーセキュリティを設定MID サーバーがネットワークの内部と外部の要素に接続できることを確認するMID サーバーを Linux または Windows ホストにダウンロードしてインストールするMID サーバーを構成MID サーバーセキュリティを設定

    このタスクについて

    証明書を MID サーバーに追加して、SSL/TLS を介して双方向で通信できます。
    • 次の手順を使用して、バンドルされた JRE トラストストアファイルに証明書を直接追加します。
    • MID サーバーが使用する別のトラストストアファイルを指定します。詳細については、「MID サーバーの外部トラストストアを指定します」を参照してください。
    両方の方法を確認し、ニーズに最適な方法を評価します。
    MID のアップグレード中に、バンドルされたトラストストアは上書きされます。MID サーバーは、既存のトラストストアから受信トラストストアへの証明書の移行を試みます。移行するには、証明書が次の基準を満たしている必要があります。
    Quebec (Orlando Patch 10 および Paris Patch 4 へのバックポート)
    • X.509 v3 証明書
    • 基本的な制約拡張は false と評価される (または存在しない)
    Rome (Paris Patch 7 および Quebec Patch 2 へのバックポート)
    • X.509 証明書
    • ソースには存在するが宛先のトラストストアには存在しない証明書

    基準を満たさない証明書は上書きされます。または、MID サーバーのアップグレードの影響を受けない外部のトラストストアファイルを指定することもできます。詳細については、「MID サーバーの外部トラストストアを指定します」を参照してください。

    Rome 以降のファミリでは、アップグレード中に使用される移行戦略は、MID サーバー設定パラメーター mid.truststore.migration.strategy を使用して構成できます。このパラメーターは次の値を取ります。
    • migrate_delta:デフォルトの戦略 (Rome については上記で概説)
    • migrate_non_ca:Quebec ファミリに関する上記で概説した戦略と一致する戦略
    • do_not_migrate:アップグレード中にトラストストアの移行を無効にするが、上書きが発生した場合は元のトラストストアのバックアップが作成される

    この移行プロセス中に、元のトラストストアとアップグレードトラストストアのバックアップが作成され、エージェントの作業ディレクトリ …\agent\work\truststore_migration\<time epoch seconds>\ に保存されます。元のトラストストアの名前は cacerts_before に変更され、アップグレードのトラストストアの名前は cacerts_from_upgrade に変更されます。

    手順

    1. コマンド プロンプトを開き、JRE キーツール を含むフォルダーに移動します。
      これは、インストールした JRE の場所です。パスの一例として、「C:\Program Files\Java\jre1.8.0_161\bin」を挙げることができます。
    2. 次のコマンドを使用し、証明書を MID サーバーの cacerts キーストアにインポートします。
      keytool -import -alias <証明書エイリアス> -file "<証明書のパス>" -keystore "<JRE のパス>\lib\security\cacerts"

      たとえば、次のように入力します。keytool -import -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"

      注:
      キーツールは証明書のパスワードを要求します。証明書が CA のものである場合、キーツールは認証局を信頼するかどうかも尋ねます。インスタンスに証明書を追加するには、「証明書をインスタンスにアップロードする」を参照してください。
    3. オプション: 次のコマンドを実行して、現在の証明書のリストを表示します。keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts"

    MID サーバーの外部トラストストアを指定します

    MID サーバー JVM は、MID インストールディレクトリの外部にあるトラストストアを利用できるため、アップグレード中にトラストストアに追加された証明書が上書きされることはありません。このトラストストアファイルが MID インストールディレクトリの外にあることが重要です。トラストストアの場所は、MID サーバーの wrapper-override.conf ファイルにパラメーターを追加することで指定できます。

    始める前に

    必要なロール:admin

    手順

    1. MID サーバーホストで、wrapper-override.conf ファイルに移動します。
    2. MID の wrapper-override.conf ファイルの最後にカスタムパラメーターを追加して、外部トラストストアを指定します。
      たとえば、C:\external_truststore\cacerts に外部トラストストアがある Windows MID の場合、ファイルの末尾は次のようになります。
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      注:
      このファイルに他の追加パラメーターを指定した場合は、数値識別子 (この場合は 3 と 4) が異なる場合があります。