サーバーのインストール後の NIST SP800-131A 準拠の有効化

インストーラー・プログラムを使用してサーバーをインストールした後、いくつかの方法で NIST SP800-131A 準拠を有効にすることができます。

このタスクについて

ただし、まだ FIPS を有効にしていない場合は、最初に FIPS を有効にする必要があります。サーバーのインストール後に FIPS を有効にする方法について詳しくは、「自動サーバー・インストール時の FIPS 準拠の有効化」を参照してください。

また、NIST をサポートするための前提条件に確実に従うことにより、サーバー証明書の準拠性を確保することも必要です。証明書の前提条件について詳しくは、「Remote Control における NIST SP800-131A 準拠」を参照してください。

BigFix® Remote Control Serverの自動インストール後に NIST SP800-131A 準拠を有効にするには、以下の手順を実行します。

手順

  1. 適切な方法を選択して NIST 構成を有効にしてください。
    オプション 1
    1. サーバーのインストール・ディレクトリー内にある tools ディレクトリーに移動します。
    2. オペレーティング・システムに応じて trcsetup.cmd または trcsetup.sh ファイルを編集します。
    3. ssl.cmd または ssl.sh ファイルを呼び出す行で、trc の前にある 0 を 1 に変更します。また、このコマンドの末尾にある 0 も 1 に変更します。例えば、次のようになります。

      変更前のコマンドは次のようになります。

      ...\tools\ssl.cmd" "C:\Program Files (x86)\BigFix\TRC\server"
 1 0 "C:\" "%CERTSTOREPW%" "servername.localnet" 0 trc
  "%CERSTOREPWSELF%" "TrC" "0"

      変更後のコマンドは次のようになります。

      ...\tools\ssl.cmd" "C:\Program Files (x86)\BigFix\TRC\server"
 1 0 "C:\" "%CERTSTOREPW%" "servername.localnet" 1 trc
  "%CERSTOREPWSELF%" "TrC" "1"
    4. ファイルを保存します。
    5. 同じディレクトリーで、オペレーティング・システムに応じて tmem.sh または tmem.cmd を編集します。
    6. NIST800=1 の値を設定します。FIPSON=1 の値を設定します (まだ設定されていない場合)。
    7. 以下のコマンドを実行します。
      trcsetup userid password certpassword
      ここで、userid および password は、データベース接続資格情報であり、certpassword は使用する認証ファイルのパスワードです。
      注: Derby にはデータベース資格情報はないため、資格情報として userid および password が使用されます。Derby を使用している場合は、以下のコマンドを入力します。
      trcsetup userid password certpassword
    オプション 2 - 一時的な NIST 構成
    注: このオプションで設定された構成変更は、 trcsetup ファイルまたは tmem ファイルを再実行すると上書きされます。
    1. ssl.xml ディレクトリー内の [installdir]\wlp\usr\servers\trcserver ファイルを編集します。

      ここで、

      [installdir]
      サーバーのインストール・ディレクトリーです。
    2. sslProtocol="TLSv1.2" を行 ssl id="defaultSSLConfig" に追加します。例えば、次のようになります。
      <server>
<ssl id="defaultSSLConfig" sslProtocol="TLSv1.2"
/>
<keystore id="defaultKeyStore" password="TrCWebAS"
/>
</server>
    3. ssl.xml ファイルを保存します。
    4. 同じディレクトリーで、jvm.options ファイルを編集します。
    5. -Dcom.ibm.jsse2.sp800-131=strict および-Dcom.ibm.jsse2.overrideDefaultTLS=true という行を追加します。
    6. ファイルを保存します。
  2. 有効な管理者 ID およびパスワードを使用して、BigFix® Remote Control Server にログオンします。
  3. 「アドミニストレーター」 > 「プロパティー・ファイルを編集」をクリックします。
  4. common.propertiesファイルで、sp800131a.compliance を true に設定します。
  5. 「送信」をクリックします。
  6. 「アドミニストレーター」 > 「アプリケーションをリセット」をクリックします。サーバー・サービスを再起動します。
    サーバー・サービスの再始動について詳しくは、「コンポーネント・サービスの管理」を参照してください。ご使用のオペレーティング・システムに該当するセクションに記載されたステップを実行してください。

タスクの結果

以下の手順を実行することで、BigFix® Remote Control Serverが NIST SP800-131A に対応するように構成されているかどうか確認します。

  • 「アドミニストレーター」 > 「現在のサーバー状況を表示」をクリックします。

以下のフィールドで、NIST SP800-131A 準拠が有効であることが示されます。

  • NIST SP800-131A モードが使用可能になりました
  • JVM が NIST SP800-131A モード用に構成されました