TLSv1.3 の構成

Remote Control バージョン 10.1.0 には、Transport Layer Security (TLS) バージョン 1.3 のサポートが含まれています。

TLSv1.3 プロトコルのサポート
デフォルトでは、Remote Control コンポーネントのバージョン 10.1.0 は下位互換モードで動作します。この操作モードでは、10.1.0 以前のバージョンのコンポーネントは中断なく動作できますバージョン 10.1.0 で 2 つのコンポーネント間の接続が確立されると、TLSv1.3 プロトコルが使用されます。その他の場合は TLSv1.2 プロトコルが使用されます。
バージョン 10.1 へのアップグレードを計画する場合、コンポーネントのアップグレード順序に関する要件はありません。
すべての製品コンポーネントをバージョン 10.1.0 に更新するか、まったく新しい Remote Control 環境を最初から導入する場合は、TLSv1.3 専用モードで動作するように製品を構成できます。この操作モードでは、コンポーネント間で可能な接続プロトコルは TLSv1.3 のみです。古いバージョンのコンポーネントが関係する接続を試みると、失敗します。
次のページに示すアクティベーション手順に従う前に、すべてのコンポーネントが 10.1.0 レベルであることを確認してください。管理対象ターゲットの場合は、Remote Control サーバーに新しく追加されたレポート「Targets not capable of TLSv1.3」を使用できます。このレポートは、「レポート・メニュー」->「標準レポート」から利用できます。管理対象環境で TLSv1.3 専用モードをアクティブにする前に、このレポートにターゲットがリストされていないことを確認してください。BigFix コンソールから Remote Control 分析を使用して、インストールされているコンポーネントのバージョンを確認することもできます。
Remote Control 分析「#4 - Remote Control のインストールとセキュリティー・オプション」には、ターゲットが現在この操作モードで動作しているかどうかを示す「TLSv1.3 のみ」という名前の新しいプロパティーが含まれています。このプロパティーの値は、インストールされているターゲットのバージョンとターゲット構成によって異なります。
Note: TLSv1.3専用モードを有効にしていても、環境内に 10.1.0 以前のバージョンのコンポーネントが存在する場合、これらのコンポーネントとのセッションを確立しようとする試行は失敗します。このような障害の正確な影響の範囲と症状は、セッションのタイプ、タイミングなどによって異なります
Note: 10.1.0 より前のバージョンのターゲットで TLSv1.3 専用モードを有効にすると、ターゲットは制約を遵守できないため、アイドル状態になり動作を停止します。ターゲットを回復するには、10.1 にアップグレードするか、TLSv1.3 専用モードを元に戻す必要があります。
Note: Remote Control サーバーに含まれている IBM Java JCE FIPS 140-2 Cryptographic Module は、TLSv1.3 プロトコルをサポートしません。つまり、FIPS モードで構成した管理対象モード環境では、TLSv1.3 専用モードで製品を操作できません。FIPS で構成した Remote Control バージョン 10.1.0 環境では、コンポーネント間の接続は常に FIPS 認定プロバイダーを使用して行われます。ターゲット、コントローラー、ブローカー間で接続する場合は、TLSv1.3 プロトコルが使用されます。コンポーネントと Remote Control サーバー間で接続する場合は、TLSv1.2 プロトコルが使用されます。
管理対象モードで TLSv1.3 専用モードを有効化
管理対象モードでは、コントローラーはセッション開始時に .trcjws ファイル内の引数を使用して、Remote Control サーバーから TLSv1.3 専用モードで動作するよう指示を受信します。
ターゲットは、コール・ホーム時に Remote Control サーバーから TLSv1.3 専用モードで動作する情報を受信します。ターゲット構成ウィザードを生成する BigFix コンソールから、この操作モードを構成することもできます。
Remote Control サーバーとブローカーは手動で構成されます。
ゲートウェイには構成は必要ありません。
どのコンポーネントを最初に構成するかは、特に指定されていません。
ブローカーを TLSv1.3 専用モードで動作するように構成
バージョン 10.1.0 では、許可されたプロトコルの制御に使用される新しいプロパティーが提供されています。これらのプロパティーは、trc_broker.properties file ファイルにあります。
ブローカーとサーバー間の接続の場合
  • ServerTLS12 = yes
  • ServerTLS13 = yes
他のすべての接続の場合 (着信と発信の両方)
  • DefaultUseTLS12 = yes
  • DefaultUseTLS13 = yes
接続プレフィックス・レベルでの指定の場合はオプションです
  • prefix.UseTLS12 = yes
  • prefix.UseTLS13 = yes
デフォルトでは、バージョン 10.1.0 では、ブローカーは両方のプロトコルを許可します。TLSv1.3 専用モードを使用するには、trc_broker.properties で「ServerTLS12 = no」と「DefaultUseTLS12 = no」を指定します。
Note: ブローカーをアップグレードすると、既存の trc_broker.properties ファイルが上書きされる可能性があります。アップグレードを続行する前に、trc_broker.properties ファイルのバックアップ・コピーを作成します。アップグレード後、ブローカー構成を確認して更新します。既存の DefaultTLSCipherListDefaultHTTPSCipherList, ServerTLS**UseTLS* プロパティーを削除します。これにより、ブリーカーは v10.1.0 構成で確実に動作します。TLSv1.3 モードのみを有効にするには、trc_broker.properties ファイルに「ServerTLS12 = no」と「DefaultUseTLS12 = no」を追加します。
TLSv1.3 専用モードで動作するようにサーバーを構成
  1. ssl.xml を編集し、sslProtocolenabledCiphers をコメント・セクションから ssl セクションにコピーして、Remote Control サーバー・サービスを再起動します。
    <ssl id="defaultSSLConfig"  
 sslProtocol="TLSv1.3,TLSv1.2"  
 enabledCiphers="TLS_AES_256_GCM_SHA384.... " 
 />
<!--  To run the server in TLS 1.3 Only mode use the following settings in the ssl section above
 sslProtocol="TLSv1.3"  
 enabledCiphers="TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256" 
 -->
    ssl.xml ファイルは、以下のフォルダーにあります。
    Linux®
    <Installation_directory>/wlp/usr/servers/trcserver/ssl.xml
    Windows®
    <Installation_directory>\wlp\usr\servers\trcserver\ssl.xml
  2. enforce.TLSv13.only プロパティーを common.properties ファイルで「true」に設定します。

    Remote Control サーバーの Web インターフェースの管理メニューから、「プロパティー・ファイルの編集」を選択し、ドロップダウン・メニューから「common.properies」を選択します。次に「送信」をクリックし、管理メニューから「アプリケーションのリセット」を選択します。

Note: 製品 xml files に対して実行された変更は、サーバーのアップグレード時に保持されません。サーバーをアップグレードする前に、これらのファイルを WLP ツリー外のフォルダーにコピーし、アップグレード後に復元します。
Note: サーバーが TLSv1.3 専用モードで動作するように設定されている場合、Remote Control サーバーとデータベース・サーバー間の接続で TLSv1.3 プロトコルをアクティブにする必要はありません。この接続でも TLSv1.3 プロトコルを有効にする場合は、データベース・ベンダーの資料で、データベース・サーバーと対応する JDBC ドライバーの構成方法を参照してください。JDBC ドライバー構成は、ssl.xml が含まれている同じフォルダー内の database.xml という名前のファイルに保存されます。
P2P モードで TLSv1.3 専用モードを有効化
P2P モードでは、ターゲットを構成することによって TLSv1.3 専用モードが強制されます。
ターゲットがバージョン 10.1.0 に更新されると、BigFix コンソールの Remote Control ターゲット構成ウィザードを使用して、プロパティー TLSV13Only を「true」に設定する構成タスクを作成します。
コントローラーの「構成」ダイアログには、コントローラーのプロトコル構成が表示されます。コントローラーが P2P モードで動作している場合、この設定を変更してプロトコルを TLSv1.3 に設定できます。