概要
IWSS/IWSVAではTCP 8443ポートと9091ポートで、デフォルトでTLS 1.0,1.1,1.2が有効化されています。いくつかの設定ファイルを変更することでTLS 1.2のみに限定化することが可能ですが、以下の制限事項がございます。限定化を行う際は、制限事項にご注意のうえで設定をお願いいたします。
なお、本設定はTLS 1.2を有効化する設定ではございません。デフォルトでTLS 1.2は既に有効化されており、本設定は、意図的にTLSのバージョンを1.2に限定するための設定となります。
なお、本設定はTLS 1.2を有効化する設定ではございません。デフォルトでTLS 1.2は既に有効化されており、本設定は、意図的にTLSのバージョンを1.2に限定するための設定となります。
制限事項
TLS 1.2のみを有効化する設定を行うと、以下の機能が使用不可能となります。以下の機能を使用される場合は、本設定は行わないようお願いいたします。
| 機能 | 管理コンソールの設定項目 | 備考 |
|---|---|---|
| レポート | [レポート] | レポート作成を実行すると失敗します |
| 設定の複製 | [管理] > [一般設定] > [複製の設定] | 以下のエラーで失敗します。 複製元に接続されていません。複製元のwebコンソールにアクセスできることを確認してください。 |
| 集中管理ログ/レポート | [管理] > [一般設定] > [集中管理ログ/レポート] | 以下のエラーで失敗します。 ログサーバに接続されていません。サーバのwebコンソールにアクセスできることを確認してください。 |
| 管理コンソールのアクセス制限 | [管理] > [管理コンソール] > [アクセス管理の設定] | 変更が自動で反映されなくなるため、設定変更後に以下いずれかを実施し、反映する必要があります。
|
| ※IWSVA 6.5のみ 管理コンソールのネットワーク設定 | [管理] > [管理コンソール] > [ネットワーク設定] | 変更が反映されないため、ネットワーク設定を変更する際は以下より実施する必要があります。
|
手順
1.IWSS/IWSVAサーバーのOSにログインします。
2.現在の設定ファイルserver.xmlをバックアップします。
# cd /var/iwss/AdminUI/tomcat/conf
# cp -p server.xml server.xml.bak
3.管理コンソールのサービスを停止します。
# /etc/iscan/S99IScanHttpd stop
4.server.xmlの Connector port = "8443".../ の "sslEnabledProtocols ="の値を変更します。
2.現在の設定ファイルserver.xmlをバックアップします。
# cd /var/iwss/AdminUI/tomcat/conf
# cp -p server.xml server.xml.bak
3.管理コンソールのサービスを停止します。
# /etc/iscan/S99IScanHttpd stop
4.server.xmlの Connector port = "8443".../ の "sslEnabledProtocols ="の値を変更します。
(変更前)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
(変更後)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"
5. 次に Connector port = "9091".../の "sslEnabledProtocols ="の値を変更します。(IWSVAとIWSSで手順が異なります。)
IWSVAの場合
(変更前)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
(変更後)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"
IWSSの場合
(変更前)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
(変更後)
SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2"
6. 一つ上のディレクトリに戻り、ファイルtomcatct.shをバックアップします。
# cd /var/iwss/AdminUI
# cd /var/iwss/AdminUI
# cp -p tomcatctl.sh tomcatctl.sh.bak
7.tomcatctl.shのJAVA_OPTS=の部分を以下のように編集します。 (IWSVAとIWSSで手順が異なります。)
IWSVAの場合
(変更前)
#export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"
(変更後)
export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
#export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"
IWSSの場合
(変更前)
export JAVA_OPTS="$JAVA_OPTS"
(変更後)
export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
#export JAVA_OPTS="$JAVA_OPTS"
8.管理コンソールサービスを開始します。
# /etc/iscan/S99IScanHttpd start