NIST SP800-131A が有効になっている場合の MS SQL データベース用の証明書の作成

NIST SP800-131A 準拠を有効にしているときに MS SQL データベースを使用する場合、証明書を作成する必要があります。

このタスクについて

証明書を生成するために、IBM® 鍵管理ツールを使用できます。組み込みコンポーネントを含む Remote Control サーバーがインストールされていて、かつコントローラー・コンポーネントがインストールされている場合、IBM® 鍵管理ツールにアクセスできます。このツールは、IBM® WebSphere® Application Server によっても提供されます。
注: 鍵サイズが 4096 以上の証明書を作成するには、制限ポリシー・ファイルの local_policy.jar および US_export_policy.jar を上書きする必要があります。

以下のディレクトリーに移動して、local_policy.jar および US_export_policy.jar のファイルをコピーします。

Windows システム
TRC\server\java\demo\jce\policy-files\unrestricted
Linux システム
TRC/server/java/demo/jce/policy-files/unrestricted

以下のファイルを、コピーした JAR ファイルに置き換えます。

Windows システム
TRC\server\java\jre\lib\security\local_policy.jar

TRC\server\java\jre\lib\security\US_export_policy.jar

Linux システム
TRC/server/java/jre/lib/security/local_policy.jar

TRC/server/java/jre/lib/security/US_export_policy.jar

証明書を作成してインストールするには、以下の手順を実行します。

手順

  1. サポートされているいずれかのバージョンの MS SQL Server および最新のパッチをインストールします。最小要件は、MS SQL Server 2012 Service Pack 3 です。
  2. 自己署名証明書を使用して鍵ストアを作成します。
    1. コマンド・ライン・ウィンドウを開きます。
    2. 以下のいずれかのディレクトリーに移動して、鍵ツールを実行します。
      組み込みコンポーネントとともにインストールされた Remote Control サーバー
      Remote Control サーバーのインストール・ディレクトリーに移動します。
      WebSphere® Application Server がインストールされている場合
      WebSphere® Application Server のインストール・ディレクトリーに移動します。
      コントローラー・コンポーネントがインストールされている場合
      ...\Controller\jre ディレクトリーへ移動します。例えば、次のようになります。
      Windows システム。
      C:\Program Files\BigFix\Remote Control\Controller\jre
      Linux システム。
      /opt/bigfix/trc/controller/jre
    3. bin ディレクトリーに移動する。
    4. ご使用のオペレーティング・システムに該当する ikeyman ファイルを実行します。
      Windows システム
      ikeyman.bat
      Linux システム
      ikeyman.sh
    5. 「鍵データベース・ファイル」 > 「新規」を選択します。
    6. 鍵データベース・タイプとして「PKCS12」を選択します。
    7. 「参照」をクリックして、鍵ストアを保管する場所に移動します。
    8. ファイルのファイル名を入力して、「保存」をクリックします。
    9. 「OK」をクリックします。
    10. 鍵ストアを保護するためのパスワードを入力して確認し、「OK」をクリックします。
    11. 「作成」 > 「新規自己署名証明書」を選択します。
    12. 「鍵ラベル」の名前を入力します。
      例えば、サーバーのホスト名を入力します。
    13. 「バージョン」「X509 V3」を選択します。
    14. 「鍵サイズ」の値を選択します。
      NIST SP800-131A 準拠の推奨値は 2048 以上です。
    15. 「署名アルゴリズム」として SHA256WithRSA を選択します。
    16. 「共通名」を入力します。
      サーバーの DNS ホスト名に設定します。
      例えば、trcserver.example.com です。
    17. 必要に応じて、追加のオプション情報を入力します。
    18. 「有効期間」に期間を入力します。
      証明書を有効にする日数を設定します。デフォルト値は 365 日です。
    19. Subject Alternative NamesDNS Name オプションをサーバーの DNS ホスト名に設定します。
    20. 「OK」をクリックします。
  3. 証明書ストアをデータベース・サーバーに追加します。
    1. コマンド・ラインで、mmc.exe を実行します。
    2. 証明書スナップインを追加します。
      1. 「ファイル」 > 「スナップインの追加と削除」を選択します。
      2. 「証明書」スナップインを選択し、「追加」をクリックします。
      3. 「コンピューター・アカウント」 を選択し、「次へ」をクリックします。
      4. 「ローカル・コンピューター」オプションが選択されていることを確認し、「完了」をクリックします。
      5. 「OK」をクリックします。
    3. 証明書をインポートします。
      1. 「コンソール 1」ウィンドウで、「コンソール・ルート」 > 「証明書」に進みます。
      2. 「証明書」を右クリックし、「すべてのタスク」 > 「インポート」を選択します。
      3. 「ようこそ」ウィンドウで「次へ」をクリックします。
      4. 「参照」をクリックして作成した証明書ストアを選択します。
      5. 「次へ」をクリックします。
      6. 証明書ストアのパスワードを入力し、「次へ」をクリックします。
      7. 「証明書をすべて次のストアに配置する」が選択されていること、および「証明書ストア」「個人用」に設定されていることを確認します。「次へ」をクリックします。
      8. 「完了」をクリックします。
  4. 秘密鍵を管理します。
    1. 証明書ファイルを右クリックし、「すべてのタスク」 > 「秘密キーの管理」を選択します。
    2. 「追加」をクリックします。
    3. 「名前の確認」をクリックして、「MSSQLSERVER」を選択し、「OK」をクリックします。
    4. 「ユーザーとグループの選択」ウィンドウで「OK」をクリックします。
    5. MSSQLSERVER の許可を「権限」ウィンドウで設定し、「OK」をクリックします。例えば、読み取り専用のオプションに対して「読み取りを許可」を選択します。
  5. 構成を完了するには、SQL Server 構成マネージャーを実行します。
    1. 「SQL Server ネットワークの構成」を展開します。
    2. 「MSSQLSERVER のプロトコル」を右クリックして、「プロパティー」を選択します。
    3. 「証明書」タブで、インポートした証明書を選択します。
    4. 「フラグ」タブで、「強制的に暗号化」を「Yes」に設定して、「OK」をクリックします。
    5. 「警告」ウィンドウで「OK」をクリックします。
    6. 「SQL Server のサービス」を選択します。
    7. 右側のペインで「SQL Server (MSSQLSERVER)」 > 「再起動」を右クリックします。