HTTPS通信を行うサーバ側がWeb版運用管理コンソールか、内蔵Webサーバか、WebOTX Webサーバ(Apache)か、IISなど外部Webサーバかによって、また、HTTPS通信を行うクライアント側がアプリケーションの場合、配備先(エージェントプロセスか、プロセスグループか)によって、設定が異なります。それぞれの場合について主にTLS1.2に限定する方法を例として、以下、説明いたします。
(サーバ側の設定について下記(1)~(4)に、クライアント側の設定について下記(5)に記載いたします。)
■サーバ側の設定
(1)Web版運用管理コンソールの場合
次の設定を行った後、ドメインを再起動してください。
・統合運用管理ツール/Webコンソールの場合
[V9の場合]
(1).1 以下の項目を入力して実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[操作]タブ
-[プロトコルのSSL設定]
・「サーバ名」に"webotx"を入力します
・「リスナまたはサービスの種類」に"http-listener"を入力します
・「リスナまたはサービスのID」に"admin-listener"を入力します
(1).2 上部メニューの「リフレッシュ」を押下します。
(1).3 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
・「プロトコルの種類」を「http(nio)」に変更します
(1).4 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
(1).5 以下の設定を行い実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
-[HTTP]
-[操作]タブ
-[プロパティの設定]
・「プロパティの設定」に"sslEnabledProtocols=TLSv1.2"を入力します
(1).6 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
・「SSLの使用の有無」をチェックします
[V10の場合]
(1).1 以下の項目を入力して実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[操作]タブ
-[プロトコルのSSL設定]
・「別名」に"webotx"を入力します
・「リスナまたはサービスの種類」に"http-listener"を入力します
・「リスナかプロトコルのID」に"admin-protocol"を入力します
(1).2 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminプロトコル]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
・「tls11-Enabled」のチェックを外します
・「tls12-Enabled」をチェックします
(1).3 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminプロトコル]
・「SSLの使用の有無」をチェックします
・運用管理コマンドの場合
[V9の場合]
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> create-ssl --certname webotx --type http-listener admin-listener
otxadmin> set server.network-config.protocols.protocol.admin-listener.security-enabled=true
otxadmin> set server.network-config.protocols.protocol.admin-listener.type=nio
otxadmin> set server.network-config.protocols.protocol.admin-listener.http.property.sslEnabledProtocols=TLSv1.2
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.tls-enabled=false
[V10の場合]
otxadmin> create-ssl --aliasname webotx --type http-listener admin-protocol
otxadmin> set server.network-config.protocols.protocol.admin-protocol.security-enabled=true
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls11-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls12-enabled=true
(2)内蔵Webサーバの場合
・統合運用管理ツール/Webコンソールの場合
[V9の場合]
(2).1 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
・「プロトコルの種類」を「http(nio)」に変更します
(2).2 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
(2).3 以下の設定を行い実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
-[HTTP]
-[操作]タブ
-[プロパティの設定]
・「プロパティの設定」に"sslEnabledProtocols=TLSv1.2"を入力します
[V10の場合]
(2).1 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSプロトコル]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
・「tls11-Enabled」のチェックを外します
・「tls12-Enabled」をチェックします
・運用管理コマンドの場合
[V9の場合]
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> set server.network-config.protocols.protocol.https-listener.type=nio
otxadmin> set server.network-config.protocols.protocol.https-listener.http.property.sslEnabledProtocols=TLSv1.2
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.tls-enabled=false
[V10の場合]
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls11-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls12-enabled=true
(3)IISなど外部Webサーバの場合
IISの場合はMicrosoft社公式の以下のURLをご確認ください。
https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings(4)WebOTX Webサーバ(Apache)の場合
TLS1.2をサポートしているのはWebOTX V9.3以降となります。WebOTX WebサーバがサポートするSSL/TLSプロトコルはWebOTX Webサーバ(Apache)とOpenSSLのバージョンで決まります。詳細はFAQ「【WebOTX Application Server】WebOTX で対応しているSSL(OTX-FAQ-000385)」をご確認ください。
WebOTX V8.2~V9.3をご利用で、WebOTX Webサーバ 2.2 をご利用の場合には、パッチを適用していただくことでTLS1.2に対応可能です。WebOTX Webサーバ 2.0 ではTLS1.2に対応はできないため、WebOTX V8.1以前をご利用の場合にはWebOTX のバージョンアップをご検討ください。
TLS1.2に対応可能なバージョンをご利用の場合、もしくはTLS1.2に対応可能とするためのパッチを適用した場合は、<SSLProtocol>ディレクティブの定義を変更し、使用可能とするSSLプロトコルの制限を行うことができます。
編集先ファイル:<WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf
例1) TLS1.2のみを許可する場合
SSLProtocol +TLSv1.2
例2) SSLv2を除くSSL/TLSプロトコルを許可する場合
SSLProtocol all -SSLv2
例3) SSLv2およびSSLv3を除くSSL/TLSプロトコルを許可する場合
SSLProtocol all -SSLv2 -SSLv3
目的に合わせ上記の例のように設定後、WebOTX Webサーバを再起動してください。
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
■クライアント側の設定
(5)アプリケーションの場合
アプリケーションがJavaアプリケーションでHttpURLConnectionを使っている場合には、Javaシステムプロパティ「https.protocols」および「jdk.tls.client.protocols」を設定することでHTTPS通信の通信プロトコルを限定することができます。ただし 、jdk.tls.client.protocolsについてはJDK 7 Update 95で導入された設定になりますので、それ以前のJavaバージョンをご利用の場合にはhttps.protocolsのみ設定してください。また、下記の設定例ではTLS1.2のみを利用可能とする場合を記載しています が、 TLS1.1と1.2を利用可能とする場合であれば、「TLSv1.2」と指定している部分に「TLSv1.1,TLSv1.2」のようにコンマを入れて複数記載してください。
(i)エージェントに配備されたJavaアプリケーションの場合
次の設定を行った後、ドメインを再起動してください。
・統合運用管理ツール/Webコンソールの場合
[<ドメイン名>]
-[アプリケーションサーバ]
-[JVM構成]
このMOの[JVMオプション]タブ
JVMオプションに「-Dhttps.protocols=TLSv1.2」および「-Djdk.tls.client.protocols=TLSv1.2」を追加
・運用管理コマンドの場合
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> create-jvm-options "-Dhttps.protocols=TLSv1.2"
otxadmin> create-jvm-options "-Djdk.tls.client.protocols=TLSv1.2"
(ii)プロセスグループに配備されたJavaアプリケーションの場合
次の設定を行った後、該当のプロセスグループを再起動するか、もしくはドメインを再起動してください。
・統合運用管理ツール/Webコンソールの場合
[<ドメイン名>]
-[TPシステム]
-[アプリケーショングループ]
-[<アプリケーショングループ名>]
-[プロセスグループ]
-[<プロセスグループ名>]
このMOの[Javaシステムプロパティ]タブ
Javaシステムプロパティに
名前に https.protocols、値に TLSv1.2 を設定してOKボタンを押下して追加、
名前に jdk.tls.client.protocols、値に TLSv1.2 を設定してOKボタンを押下して追加
・運用管理コマンドの場合
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> add-pg-javasystem-property --apgroup <アプリケーショングループ名> --javasystemprop https.protocols --value TLSv1.2 <プロセスグループ名>
otxadmin> add-pg-javasystem-property --apgroup <アプリケーショングループ名> --javasystemprop jdk.tls.client.protocols --value TLSv1.2 <プロセスグループ名>
【対象製品】Application Server
【確認済みのバージョン】V9.1以降
【確認済みのエディション】すべて
【確認済みの対象OS】すべて
【確認済みのJavaバージョン】すべて
【コンポーネント】運用管理
【カテゴリー】運用/設定