パスフレーズの自動的な暗号化

セキュリティー上の理由から、ブローカー、ゲートウェイ、ターゲット、および CLI の各コンポーネントの構成に含まれている非暗号化テキストのパスワードが自動的に暗号化されるようになりました。パスワードを自動的に暗号化するかどうかを決定するには、DisableAutomaticPassphraseEncryption プロパティーを使用します。

ブローカー・コンポーネントとゲートウェイ・コンポーネントでは、コンポーネントの構成ファイルのパスフレーズ・パラメーターと DefaultTLSCertificatePassphrase パラメーター内に、非暗号化テキストのパスワードを設定できます。ターゲット、CLI、ブローカーでは、 ProxyURL プロパティーの値として、URL 内に userid:password の組み合わせで非暗号化テキスト・パスワードを設定できます。ブローカーとゲートウェイのパスワード、 userid:password の組み合わせが、自動的に暗号化されるようになりました。

DisableAutomaticPassphraseEncryption=No
非暗号化テキスト・パスワードが自動的に暗号化されます。この値はデフォルト値です。
DisableAutomaticPassphraseEncryption=Yes
非暗号化テキスト・パスワードは自動的に暗号化されません。セキュリティー上の理由から、自動的な暗号化は無効にしないことをお勧めします。

パラメーター値の設定

DisableAutomaticPassphraseEncryption プロパティーの値は、以下の場所で設定できます。
ブローカー・コンポーネント
ブローカーの構成ファイル trc_broker.properties

Windows オペレーティング・システム: このファイルは、インストールされている Windows オペレーティング・システムのバージョンに応じて、以下のディレクトリー内にあります。

\Documents and Settings\All Users\Application Data\BigFix\Remote Control\Broker.

\ProgramData\BigFix\Remote Control\Broker.

Linux オペレーティング・システム:/etc.

ゲートウェイ・コンポーネント
ゲートウェイの構成ファイル trc_gateway.properties

Windows オペレーティング・システム: このファイルは、インストールされている Windows オペレーティング・システムのバージョンに応じて、以下のディレクトリー内にあります。

\Documents and Settings\All Users\Application Data\BigFix\Remote Control\Gateway.

\ProgramData\BigFix\Remote Control\Gateway.

Linux オペレーティング・システム:/etc.

ターゲット・コンポーネント
Windows オペレーティング・システム: ターゲットがインストールされた後のターゲットのレジストリー内、またはサイレント・インストール・コマンドのパラメーターとして。
注: インストーラー・プログラム、または BigFix® コンソールでデプロイメント Fixlet を使用してターゲットをインストールする場合は、自動的な暗号化を無効にするオプションはありません。

Linux オペレーティング・システム:/etc/trc_target.properties.

CLI コンポーネント
Windows オペレーティング・システム: CLI コンポーネントがインストールされた後のターゲットのレジストリー内。
注: インストーラー・プログラム、または BigFix® コンソールでデプロイメント Fixlet を使用して CLI コンポーネントをインストールする場合は、自動的な暗号化を無効にするオプションはありません。

Linux オペレーティング・システム: /etc/trc_target.properties

注: CLI がターゲットなしで独立してインストールされる場合、および CLI が標準のユーザーによって実行される場合は、CLI はプロキシー資格情報を自動的に暗号化できません。ターゲットのパッケージに含まれている CLI を使用する場合は、プロキシー資格情報がターゲットによって自動的に暗号化されます。レジストリーまたは構成ファイル内の設定を編集した後、ターゲットを再始動する必要があります。独立型の CLI ツールを使用する場合は、Windows オペレーティング・システムの管理者のコマンド・プロンプトから、あるいは Linux に root としてログインしたときに、CLI を一度実行する必要があります。

以下に示すシナリオでは、パスワードを自動的に暗号化しない場合のパラメーターの正しい使用の手順を示しています。ただし、セキュリティー上の理由から、自動的な暗号化は無効にしないことをお勧めします。

新規デプロイメントのシナリオ

各コンポーネントを初めてインストールするときに、パスワードを自動的に暗号化しない場合は、以下の手順を実行します。

ブローカー・コンポーネントおよびゲートウェイ・コンポーネント
  1. コンポーネントをインストールした後に、該当するプロパティー・ファイルを編集します。
  2. 該当する パスフレーズ・パラメーターと DefaultTLSCertificatePassphrase パラメーターに、非暗号化テキストのパスワードを入力します。
  3. DisableAutomaticPassphraseEncryption=Yes を設定します。
  4. ファイルを保存します。
  5. コンポーネント・サービスを開始します。

プロパティー・ファイル内に、パスワードが非暗号化テキストとして保存されます。

ターゲット・コンポーネント
Windows オペレーティング・システム:
  1. サイレント・インストールのコマンド内で、以下のパラメーター値を設定します。
    • TRC_PROXY_USER_IDTRC_PROXY_PASSWORD を非暗号化テキストの値で設定します。
    • DISABLEAUTOMATICPASSPHRASEENCRYPTION=Yes を設定します。
  2. インストール・コマンドを実行します。ターゲットのサイレント・インストールの実行方法について詳しくは、Windows システムでのターゲット・カスタム・インストールの実行「」を参照してください。
Linux オペレーティング・システム:
  1. /etc/trc_target.properties ファイルを編集します。
  2. ProxyURL プロパティーで、非暗号化テキストの userid:password の組み合わせを設定します。
  3. DisableAutomaticPassphraseEncryption=Yes を設定します。
  4. ファイルを保存します。
  5. ターゲット・サービスを開始します。

プロキシー URL 内の userid:password の組み合わせが非暗号化テキストとして保存されます。

注: 新規デプロイメントのシナリオでは、コンポーネントを初めて始動する前に、DisableAutomaticPassphraseEncryption プロパティーの値を Yes に設定する必要があります。そうでないと、コンポーネントは始動時に、自動的にパスワードを暗号化します。パスワードが暗号化された後、コンポーネントはパスワードを復号しません。

アップグレードのシナリオ

コンポーネントをアップグレードするときに、既存の非暗号化テキスト・パスワードを自動的に暗号化しない場合は、以下の手順を実行します。
ブローカー・コンポーネントおよびゲートウェイ・コンポーネント
  1. 現行のプロパティー・ファイルを編集します。
  2. DisableAutomaticPassphraseEncryption=Yes を設定します。
  3. コンポーネントをアップグレードします。
プロパティー・ファイル内に、パスワードが非暗号化テキストとして保存されます。
ターゲット・コンポーネントおよび CLI コンポーネント
Windows オペレーティング・システム:
  1. ターゲットのレジストリーを編集して、DisableAutomaticPassphraseEncryption=Yes を設定します。
  2. コンポーネントをアップグレードします。
Linux オペレーティング・システム:
  1. /etc/trc_target.properties ファイルを編集して、DisableAutomaticPassphraseEncryption=Yes を設定します。
  2. ファイルを保存します。
  3. コンポーネントをアップグレードします。

プロキシー URL 内の userid:password の組み合わせが非暗号化テキストとして保存されます。

コンポーネントの始動後の暗号化の無効化

パスワードが暗号化された後、コンポーネントはパスワードを復号しません。したがって、コンポーネントを始動した後に、自動的な暗号化を無効にし、非暗号化テキスト・パスワードを保存するには、以下の手順を実行します。このシナリオで使用可能な非暗号化テキスト・パスワードを用意しておく必要があります。
ブローカー・コンポーネントおよびゲートウェイ・コンポーネント
  1. 現行のプロパティー・ファイルを編集します。
  2. DisableAutomaticPassphraseEncryption=Yes を設定します。
  3. 暗号化されたパスワードを削除して、非暗号化テキストのパスワードに置き換えます。
  4. コンポーネントを再始動します。
ターゲット・コンポーネントおよび CLI コンポーネント
Windows オペレーティング・システム:
  1. ターゲットのレジストリーを編集して、DisableAutomaticPassphraseEncryption=Yes を設定します。
  2. ProxyURL プロパティーを変更して、userid:password の組み合わせを非暗号化テキストの値に設定します。
  3. コンポーネントを再始動します。
Linux オペレーティング・システム:
  1. 現在の /etc/trc_target.properties ファイルを編集して、DisableAutomaticPassphraseEncryption=Yes を設定します。
  2. ProxyURL プロパティーを変更して、userid:password の組み合わせを非暗号化テキストの値に設定します。
  3. ファイルを保存します。
  4. コンポーネントを再始動します。

プロキシー URL 内の userid:password の組み合わせが非暗号化テキストとして保存されます。

注: パスワードが暗号化された後は、DisableAutomaticPassphraseEncryption を Yes に設定してコンポーネントを再始動しても、パスワードには影響を与えません。コンポーネントはパスワードを復号せず、引き続き暗号化されたパスワードを使用して、鍵ストアのロックを解除したり、プロキシーにアクセスしたりすることができます。

詳細情報

  • 暗号化された後のパスフレーズの復号に使用できるキーワードやコマンドはありません。
  • 暗号化では、基本となるシステムに固有の値から得られた暗号鍵が使用されます。暗号鍵が保存されることはありません。この鍵は、コンポーネントが始動されるたびに、システム固有値から取得されます。したがって、暗号化されたパスフレーズや、暗号化されたパスフレーズを含む構成ファイルを、異なるシステム間でコピーすることはできません。暗号化されたそのパスフレーズを、他のシステム上のコンポーネントが使用することはできません。これは、他のシステム上ではパスフレーズが異なる鍵で暗号化されるためです。
  • 暗号鍵を作成するために使用されるシステム固有の値は、変更されることがあります。例えば、オペレーティング・システムを再インストールすると、システム固有値が変更されます。オペレーティング・システムが再インストールされた後に、暗号化されたパスフレーズを含むコンポーネントの構成がバックアップから復元された場合、そのコンポーネントはその暗号化されたパスフレーズを使用して鍵ストアを開くことができません。復元されたパスフレーズは異なる鍵で暗号化されているためです。非暗号化テキストのパスフレーズを別個にバックアップすることをお勧めします。例えば、セキュアなパスワード・ボールトを使用する方法があります。バックアップのパスフレーズを、バックアップの鍵ストアと一緒に保存しないでください。
  • 暗号化されたパスフレーズには、接頭部として {aes-128-gcm} という文字列が付けられます。ただし、ゲートウェイの inboundinbound6 接続で構成されているパスフレーズは、別のアルゴリズムを使用して暗号化されます。このパスフレーズの接頭部は、{pbkdf2-hmac-sha256} という文字列です。
  • 暗号化アルゴリズムは、128 ビットの暗号鍵を使用する GCM モードの AES です。
  • 鍵導出アルゴリズムは、128 ビットの salt を使用する PBKDF2-HMAC-SHA256 です。