NIST SP800-131A が有効になっている場合の MS SQL データベース用の証明書の作成

NIST SP800-131A 準拠を有効にしているときに MS SQL データベースを使用する場合、証明書を作成する必要があります。

このタスクについて

証明書を生成するために、IBM® 鍵管理ツールを使用できます。組み込みコンポーネントを含む Remote Control サーバーがインストールされていて、かつコントローラー・コンポーネントがインストールされている場合、IBM® 鍵管理ツールにアクセスできます。このツールは、IBM® WebSphere® Application Server によっても提供されます。
注: 鍵サイズが 4096 以上の証明書を作成するには、制限ポリシー・ファイルの local_policy.jar および US_export_policy.jar を上書きする必要があります。

以下のディレクトリーに移動して、local_policy.jar および US_export_policy.jar のファイルをコピーします。

Windows システム
TRC\server\java\demo\jce\policy-files\unrestricted
Linux システム
TRC/server/java/demo/jce/policy-files/unrestricted

以下のファイルを、コピーした JAR ファイルに置き換えます。

Windows システム
TRC\server\java\jre\lib\security\local_policy.jar

TRC\server\java\jre\lib\security\US_export_policy.jar

Linux システム
TRC/server/java/jre/lib/security/local_policy.jar

TRC/server/java/jre/lib/security/US_export_policy.jar

証明書を作成してインストールするには、以下の手順を実行します。

手順

  1. サポートされているいずれかのバージョンの MS SQL Server および最新のパッチをインストールします。最小要件は、MS SQL Server 2012 Service Pack 3 です。
  2. 自己署名証明書を使用して鍵ストアを作成します。
    1. コマンド・ライン・ウィンドウを開きます。
    2. 以下のいずれかのディレクトリーに移動して、鍵ツールを実行します。
      組み込みコンポーネントとともにインストールされた Remote Control サーバー
      Remote Control サーバーのインストール・ディレクトリーに移動します。
      WebSphere® アプリケーションサーバーがインストールされている場合
      WebSphere® Application Server のインストール・ディレクトリーに移動します。
      コントローラー・コンポーネントがインストールされている場合
      ...\Controller\jre ディレクトリーへ移動します。例えば、以下のようにします。
      Windows システム。
      C:\Program Files\BigFix\Remote Control\Controller\jre
      Linux システム。
      /opt/bigfix/trc/controller/jre
    3. bin ディレクトリーに移動する。
    4. ご使用のオペレーティング・システムに該当する ikeyman ファイルを実行します。
      Windows システム
      ikeyman.bat
      Linux システム
      ikeyman.sh
    5. 「鍵データベース・ファイル」「新規」を選択します。
    6. 鍵データベース・タイプとして「PKCS12」を選択します。
    7. 「参照」をクリックして、鍵ストアを保管する場所に移動します。
    8. ファイルのファイル名を入力して、「保存」をクリックします。
    9. OK」をクリックします。
    10. 鍵ストアを保護するためのパスワードを入力して確認し、「OK」をクリックします。
    11. 「作成」「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。
    12. 「鍵ラベル (Key Label)」の名前を入力します。
      例えば、サーバーのホスト名を入力します。
    13. 「バージョンX509 V3を選択します。
    14. 「鍵サイズ」の値を選択します。
      NIST SP800-131A 準拠の推奨値は 2048 以上です。
    15. 「署名アルゴリズム (Signature Algorithm)」として「SHA256WithRSA」を選択します。
    16. 「共通名」を入力します。
      サーバーの DNS ホスト名に設定します。
      例: trcserver.example.com
    17. 必要に応じて、追加のオプション情報を入力します。
    18. 有効期間を入力します。
      証明書を有効にする日数を設定します。デフォルトは 365 日です。
    19. 「サブジェクト代替名 (Subject Alternative Names)」「DNS 名」オプションをサーバーの DNS ホスト名に設定します。
    20. OK」をクリックします。
  3. 証明書ストアをデータベース・サーバーに追加します。
    1. コマンド・ラインで、mmc.exe を実行します。
    2. 証明書スナップインを追加します。
      1. 「ファイル」 > 「スナップインの追加と削除」を選択します。
      2. 「証明書」スナップインを選択し、「追加」をクリックします。
      3. 「コンピューター・アカウント」 を選択し、「次へ」をクリックします。
      4. 「ローカル・コンピューター」オプションが選択されていることを確認し、「完了」をクリックします。
      5. OK」をクリックします。
    3. 証明書をインポートします。
      1. 「コンソール 1」ウィンドウで、「コンソール・ルート」 > 「証明書」に進みます
      2. 「証明書」を右クリックし、「すべてのタスク」 > 「インポート」を選択します。
      3. 「ようこそ」ウィンドウで「次へ」をクリックします。
      4. 「参照」をクリックして作成した証明書ストアを選択します。
      5. 次へ」をクリックします。
      6. 証明書ストアのパスワードを入力し、「次へ」をクリックします。
      7. 「証明書をすべて次のストアに配置する」が選択されていること、および「証明書ストア」「個人用」に設定されていることを確認します。「次へ」をクリックします。
      8. 終了」をクリックします。
  4. 秘密鍵を管理します。
    1. 証明書ファイルを右クリックし、「すべてのタスク」 > 「秘密キーの管理」を選択します。
    2. 追加」をクリックします。
    3. 「名前の確認」をクリックして、「MSSQLSERVER」を選択し、「OK」をクリックします。
    4. 「ユーザーとグループの選択」ウィンドウで 「OK」をクリックします。
    5. MSSQLSERVER の許可を「権限」ウィンドウで設定し、「OK」をクリックします。例えば、読み取り専用のオプションに対して「読み取り許可」を選択します。
  5. 構成を完了するには、SQL Server 構成マネージャーを実行します。
    1. 「SQL Server ネットワークの構成」を展開します。
    2. 「MSSQLSERVER のプロトコル」を右クリックして、「プロパティー」を選択します。
    3. 「証明書」タブで、インポートした証明書を選択します。
    4. 「フラグ」タブで、「強制的に暗号化」を「Yes」に設定して、「OK」をクリックします。
    5. 「警告」ウィンドウで「OK」をクリックします。
    6. 「SQL Server のサービス」を選択します。
    7. 右側のペインで「SQL Server (MSSQLSERVER)」 > 「再起動」を右クリックします。