SQL Server を使用した TLS 1.2 の有効化

以下のステップを実行し、NIST SP800-131 コンプライアンスに必要な TLS 1.2 を設定します。

始める前に

  • TLS の設定では、サポートされているいずれかのバージョンの MS SQL Server および最新のパッチをインストールする必要があります。
  • 必要最小バージョンは MS SQL Server 2012 Service Pack 3 です。
  • ブラウザーで TLS 1.2 が有効になっていることを確認します。
  • BFC V1.10.x 以前の場合:
    • テキスト・エディターで jvm.options ファイルを開き、次のコードを追加します。
      -Dcom.ibm.jsse2.overrideDefaultTLS=true

      ファイルの場所: <SCA>\wlp\usr\servers\server1\

      注: コードに余分なスペースや空きスペースやタブがないことを確認してください。
    • 変更を有効にするためには、Compliance サービスを再起動する必要があります。
  • BFC V2.0.x 以降の場合、コードは既に jvm.options に追加されています。

    ファイルの場所: <SCA>\wlp\usr\servers\server1\configDropins\defaults\

このタスクについて

手順

  1. サポートされているいずれかのバージョンの MS SQL Server および最新のパッチをインストールします。最小要件は MS SQL Server 2012 Service Pack 3 です。Microsoft SQL Server セットアップの TLS 1.2 サポートを有効にするために Microsoft によりリリースされる更新プログラムについて詳しくは、https://support.microsoft.com/en-us/help/3135244/tls-1.2-support-for-microsoft-sql-server を参照してください。
  2. OpenSSL または IIS マネージャー・ツールを使用して自己署名証明書を生成します (証明書の所有者または「共通名」がホスト名と一致することを確認してください)。
    1. OpenSSL > req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
    2. 証明書と鍵を .pfx に結合します。
    3. OpenSSL > pkcs12 -export -out sca_server.pfx -inkey privateKey.key -in certificate.crt
    4. IIS マネージャーを使用して自己署名証明書を生成し、直接 .pfx にエクスポートします。IIS マネージャーをインストールするには、「サーバー・マネージャー」に移動し、追加する機能をクリックして Web Server(IIS) を追加します。証明書の生成について詳しくは、次を参照してください。 https://aboutssl.org/how-to-create-a-self-signed-certificate-in-iis/
  3. 証明書/鍵を BigFix Compliance にアップロードします。
  4. コマンド・ラインから mmc.exe を実行します。
  5. 証明書スナップインを追加します。
    1. 「ファイル」 > 「スナップインの追加と削除」を選択します。
    2. 「証明書」スナップインを選択し、「追加」をクリックします。
    3. 「コンピューター・アカウント」 を選択し、「次へ」をクリックします。
    4. 「ローカル・コンピューター」オプションが選択されていることを確認し、「完了」をクリックします。
    5. 「OK」をクリックします。
  6. 証明書をインポートします。
    1. 「コンソール」ウィンドウで、「コンソール・ルート」 > 「証明書」に移動します。
    2. 「証明書」を右クリックし、 「すべてのタスク」 > 「インポート」を選択します。
    3. ようこそ画面で、「次へ」をクリックします。
    4. 「参照」をクリックして作成した証明書ストアを選択します。
    5. 次へ」をクリックします。
    6. 証明書ストアのパスワードを入力し、「次へ」をクリックします。
    7. 「証明書をすべて次のストアに配置する」が選択されていて、「証明書ストア」「個人用」に設定されていることを確認します。
    8. 「次へ」をクリックし、「完了」をクリックします。
  7. 秘密キーを管理します。
    1. 証明書ファイルを右クリックし、「すべてのタスク」 > 「秘密キーの管理」を選択します。
    2. 「追加」をクリックします。
    3. 「名前の確認」をクリックし、「MSSQLSERVER」 を選択して「OK」をクリックします (「MSSQLSERVER」 が見つからない場合は、代わりに 「SERVICE」 を選択します)。
    4. 「ユーザーとグループの選択」ウィンドウで 「OK」をクリックします。
    5. MSSQLSERVER の許可を「権限」ウィンドウで設定し、「OK」をクリックします。例えば、読み取り専用のオプションに対して「読み取りを許可」を選択します。
  8. SQL Server のドキュメントにしたがって、暗号化された接続を受け入れるように SQL Server を構成します。詳しくは、『https://docs.microsoft.com/en-us/previous-versions/sql/sql-server-2012/ms191192(v=sql.110)#EncryptConnection』を参照してください。
  9. SQL Server および BigFix Compliance を再起動します。