- 対象のドメインを停止します。
> otxadmin stop-domain <対象ドメイン>
- /etc/crypto-policies/back-ends/java.config をテキストエディタで開き、jdk.tls.disabledAlgorithms の 「DH keySize < 2048」 を 「DH keySize < 1024」に変更し、更に「TLSv1」 を削除します。
(この設定変更は一時的に行うものであり、手順7で元に戻します。)
[java.configの変更例]
jdk.tls.disabledAlgorithms=DH keySize < 1024, SSLv2, SSLv3, TLSv1.1, DHE_DSS, RSA_EXPORT, DHE_DSS_EXPORT, DHE_RSA_EXPORT, DH_DSS_EXPORT, DH_RSA_EXPORT, DH_anon, ECDH_anon, DH_RSA, DH_DSS, ECDH, 3DES_EDE_CBC, DES_CBC, RC4_40, RC4_128, DES40_CBC, RC2, HmacMD5
- 対象のドメインを起動します。
> otxadmin start-domain <対象のドメイン>
- 対象のドメインに接続して、ドメインの暗号プロトコルをTLSv1.2に、DH鍵のビット長を2048ビットにそれぞれ設定します。
otxadmin
otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <対象ドメインのJMXMP管理ポート> --protocol jmxmp --secure=true
otxadmin> set server.admin-service.jmx-connector.system-option.tls-protocol=TLSv1.2
otxadmin> create-jvm-options -Djdk.tls.ephemeralDHKeySize=2048
otxadmin> exit
- 対象のドメインを停止します。
> otxadmin stop-domain <対象のドメイン>
- ${INSTALL_ROOT}/config/otxadmin.properties をテキストエディタで開き、次の定義を追加します。
ファイルが存在しない場合は作成します。
[otxadmin.propertiesに追加する定義]
jdk.tls.ephemeralDHKeySize=2048
com.nec.webotx.jmxmp.client.tls.protocol=TLSv1.2
- /etc/crypto-policies/back-ends/java.config をテキストエディタで開き、jdk.tls.disabledAlgorithms の 「DH keySize < 1024」 を 「DH keySize < 2048」に変更し、更に「TLSv1」 を追加します。
(手順2の作業を元に戻します。)
[java.configの変更例]
jdk.tls.disabledAlgorithms=DH keySize < 2048, SSLv2, SSLv3, TLSv1, TLSv1.1, DHE_DSS, RSA_EXPORT, DHE_DSS_EXPORT, DHE_RSA_EXPORT, DH_DSS_EXPORT, DH_RSA_EXPORT, DH_anon, ECDH_anon, DH_RSA, DH_DSS, ECDH, 3DES_EDE_CBC, DES_CBC, RC4_40, RC4_128, DES40_CBC, RC2, HmacMD5
- 対象のドメインを起動します。
> otxadmin start-domain <対象のドメイン>