ページの先頭です。
ここから本文です。

よくあるご質問(サポートFAQ)

【WebOTX Application Server】HTTPS通信の通信プロトコルをTLS1.2のみに限定したい(OTX-FAQ-000885)

質問内容

HTTPS通信する際のSSL/TLSの設定について、TLS1.2のみとするなど、特定のバージョンに限定する方法を教えてください。

回答内容

HTTPS通信を行うサーバ側がWeb版運用管理コンソールか、内蔵Webサーバか、Webサーバ(Apache)か、IISなど外部Webサーバかによって、また、HTTPS通信を行うクライアント側がアプリケーションの場合、配備先(エージェントプロセスか、プロセスグループか)によって、設定が異なります。それぞれの場合について主にTLS1.2に限定する方法を例として、以下、説明いたします。
(サーバ側の設定について下記(1)~(4)に、クライアント側の設定について下記(5)に記載いたします。)

■サーバ側の設定

(1)Web版運用管理コンソールの場合
次の設定を行った後、ドメインを再起動してください。

・統合運用管理ツール/Webコンソールの場合
[V9の場合]
(1).1 以下の項目を入力して実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[操作]タブ
-[プロトコルのSSL設定]
・「サーバ名」に"webotx"を入力します
・「リスナまたはサービスの種類」に"http-listener"を入力します
・「リスナまたはサービスのID」に"admin-listener"を入力します

(1).2 上部メニューの「リフレッシュ」を押下します。

(1).3 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
・「プロトコルの種類」を「http(nio)」に変更します

(1).4 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します

(1).5 以下の設定を行い実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
-[HTTP]
-[操作]タブ
-[プロパティの設定]
・「プロパティの設定」に"sslEnabledProtocols=TLSv1.2"を入力します

(1).6 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminリスナ]
・「SSLの使用の有無」をチェックします

[V10の場合]
(1).1 以下の項目を入力して実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[操作]タブ
-[プロトコルのSSL設定]
・「別名」に"webotx"を入力します
・「リスナまたはサービスの種類」に"http-listener"を入力します
・「リスナかプロトコルのID」に"admin-protocol"を入力します

(1).2 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminプロトコル]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
・「tls11-Enabled」のチェックを外します
・「tls12-Enabled」をチェックします

(1).3 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[Adminプロトコル]
・「SSLの使用の有無」をチェックします

・運用管理コマンドの場合
[V9の場合]
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> create-ssl --certname webotx --type http-listener admin-listener
otxadmin> set server.network-config.protocols.protocol.admin-listener.security-enabled=true
otxadmin> set server.network-config.protocols.protocol.admin-listener.type=nio
otxadmin> set server.network-config.protocols.protocol.admin-listener.http.property.sslEnabledProtocols=TLSv1.2
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-listener.ssl.tls-enabled=false

[V10の場合]
otxadmin> create-ssl --aliasname webotx --type http-listener admin-protocol
otxadmin> set server.network-config.protocols.protocol.admin-protocol.security-enabled=true
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls11-enabled=false
otxadmin> set server.network-config.protocols.protocol.admin-protocol.ssl.tls12-enabled=true

(2)内蔵Webサーバの場合
・統合運用管理ツール/Webコンソールの場合
[V9の場合]
(2).1 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
・「プロトコルの種類」を「http(nio)」に変更します

(2).2 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します

(2).3 以下の設定を行い実行ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSリスナ]
-[HTTP]
-[操作]タブ
-[プロパティの設定]
・「プロパティの設定」に"sslEnabledProtocols=TLSv1.2"を入力します

[V10の場合]
(2).1 以下の設定を行い更新ボタンを押下します。
[<ドメイン名>]
-[アプリケーションサーバ]
-[ネットワーク構成]
-[プロトコル構成]
-[protocol]
-[HTTPSプロトコル]
-[SSL]
・「SSL2使用」のチェックを外します
・「SSL3使用」のチェックを外します
・「TLS使用」のチェックを外します
・「tls11-Enabled」のチェックを外します
・「tls12-Enabled」をチェックします

・運用管理コマンドの場合
[V9の場合]
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> set server.network-config.protocols.protocol.https-listener.type=nio
otxadmin> set server.network-config.protocols.protocol.https-listener.http.property.sslEnabledProtocols=TLSv1.2
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-listener.ssl.tls-enabled=false

[V10の場合]
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.ssl2-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.ssl3-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls11-enabled=false
otxadmin> set server.network-config.protocols.protocol.https-protocol.ssl.tls12-enabled=true

(3)IISなど外部Webサーバの場合
IISの場合はMicrosoft社公式の以下のURLをご確認ください。
https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings

(4)Webサーバ(Apache)の場合
TLS1.2をサポートしているのはWebOTX V9.3以降となります。WebOTX WebサーバがサポートするSSL/TLSプロトコルはWebOTX Webサーバ(Apache)とOpenSSLのバージョンで決まります。詳細はFAQ「【WebOTX Application Server】WebOTXで対応しているSSL(OTX-FAQ-000385)」をご確認ください。
WebOTX V8.2~V9.3をご利用で、WebOTX Webサーバ 2.2 をご利用の場合には、パッチを適用していただくことでTSL1.2に対応可能です。WebOTX Webサーバ 2.0 ではTLS1.2に対応はできないため、WebOTX V8.1以前をご利用の場合にはWebOTXのバージョンアップをご検討ください。

TSL1.2に対応可能なバージョンをご利用の場合、もしくはTLS1.2に対応可能とするためのパッチを適用した場合は、<SSLProtocol>ディレクティブの定義を変更し、使用可能とするSSLプロトコルの制限を行うことができます。

編集先ファイル:<WebOTXインストールディレクトリ>/domains/<ドメイン名>/config/WebServer/ssl.conf

例1) TLS1.2のみを許可する場合
SSLProtocol +TLSv1.2

例2) SSLv2を除くSSL/TLSプロトコルを許可する場合
SSLProtocol all -SSLv2

例3) SSLv2およびSSLv3を除くSSL/TLSプロトコルを許可する場合
SSLProtocol all -SSLv2 -SSLv3

目的に合わせ上記の例のように設定後、Webサーバを再起動してください。

otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start

■クライアント側の設定

(5)アプリケーションの場合
アプリケーションがJavaアプリケーションでHttpURLConnectionを使っている場合には、Javaシステムプロパティ「https.protocols」および「jdk.tls.client.protocols」を設定することでHTTPS通信の通信プロトコルを限定することができます。ただし、jdk.tls.client.protocolsについてはJDK 7 Update 95で導入された設定になりますので、それ以前のJavaバージョンをご利用の場合にはhttps.protocolsのみ設定してください。また、下記の設定例ではTLS1.2のみを利用可能とする場合を記載していますが、 TLS1.1と1.2を利用可能とする場合であれば、「TSLv1.2」と指定している部分に「TSLv1.1,TSLv1.2」のようにコンマを入れて複数記載してください。

(i)エージェントに配備されたJavaアプリケーションの場合
次の設定を行った後、ドメインを再起動してください。

・統合運用管理ツール/Webコンソールの場合
[<ドメイン名>]
-[アプリケーションサーバ]
-[JVM構成]
このMOの[JVMオプション]タブ
システムJVMオプションに「-Dhttps.protocols=TSLv1.2」および「-Djdk.tls.client.protocols=TLSv1.2」を追加

・運用管理コマンドの場合
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> create-jvm-options "-Dhttps.protocols=TLSv1.2"
otxadmin> create-jvm-options "-Djdk.tls.client.protocols=TLSv1.2"

(ii)プロセスグループに配備されたJavaアプリケーションの場合
次の設定を行った後、該当のプロセスグループを再起動するか、もしくはドメインを再起動してください。

・統合運用管理ツール/Webコンソールの場合
[<ドメイン名>]
-[TPシステム]
-[アプリケーショングループ]
-[<アプリケーショングループ名>]
-[プロセスグループ]
-[<プロセスグループ名>]
このMOの[Javaシステムプロパティ]タブ
Javaシステムプロパティに
名前に https.protocols、値に TLSv1.2 を設定してOKボタンを押下して追加、
名前に jdk.tls.client.protocols、値に TLSv1.2 を設定してOKボタンを押下して追加

・運用管理コマンドの場合
otxadmin> login --user admin --password <パスワード> --port <該当ドメインのポート>
otxadmin> add-pg-javasystem-property --apgroup <アプリケーショングループ名> --javasystemprop https.protocols --value TLSv1.2 <プロセスグループ名>
otxadmin> add-pg-javasystem-property --apgroup <アプリケーショングループ名> --javasystemprop jdk.tls.client.protocols --value TLSv1.2 <プロセスグループ名>

【対象製品】Application Server
【確認済みのバージョン】V9.1以降
【確認済みのエディション】すべて
【確認済みの対象OS】すべて
【確認済みのJavaバージョン】すべて
【コンポーネント】運用管理
【カテゴリー】運用/設定

製品名カテゴリ

WebOTX
WebOTX Application Server

  • コンテンツID: 3150115440
  • 公開日: 2021年01月08日
  • 最終更新日:2021年01月08日

アンケート

サポート情報充実のためアンケートにご協力をお願いいたします。



コメント欄:
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。