Disconnected Log Collector での証明書ベースの認証のセットアップ

TLS では、 TCP を介したととの通信において IBM QRadarIBM Disconnected Log Collector 、証明書ベースの通信が使用され、エンドエンティティからルート証明書に至るハードウェアおよびソフトウェア検証を行う信頼の連鎖が確立されます。

始める前に

信頼できる認証局 (CA) から発行されたルート証明書が必要です。 通常は、 Disconnected Log Collector システムと QRadar システムで同じルート証明書を使用します。 ルート証明書に分かりやすい名前 (root-ca.cer など) が付いていることを確認します。

このタスクについて

すべての証明書に有効期間 (日付範囲) があり、その期間内は、証明書を使用してセキュアな通信を確立できます。 有効期間が終了すると、証明書は有効期限切れになり、置き換える必要があります。

手順

  1. Disconnected Log Collector コンピューターまたは VM に root ユーザーとしてログインします。
  2. ルート証明書を /etc/pki/ca-trust/source/anchors ディレクトリーにコピーし、以下のコマンドを実行してデフォルトのトラストストアを更新します。
    update-ca-trust
  3. 次のコマンドを入力して、クライアント証明書署名要求 (CSR) を生成します。
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -csr (-2k | -4k)

    -2k オプションは 2048 ビット鍵を表し、-4k は 4096 ビット鍵を表します。 組織の要件に基づいて、証明書の鍵サイズ値を選択します。

    例:
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -csr -2k
  4. 以下のパラメーターの値を入力します。
    1. 国名を表す 2 文字のコードを入力するか、空白のままにします。
    2. 都道府県を入力するか、空白のままにします。
    3. 都市名を入力するか、空白のままにします。
    4. 組織名を入力します。
    5. 組織単位を入力します。

    ファイルは /opt/ibm/si/services/dlc/keystore/<UUID>/dlc-client.key として保存されます。ここで、UUID は、Disconnected Log Collector インスタンスに固有の識別子です。

    ヒント: Disconnected Log Collector インスタンスに固有の UUID ID を書き留めます。 ID は /opt/ibm/si/services/dlc/keystore/<UUID> フォルダー名です。 QRadarDisconnected Log Collector プロトコルを構成するときに UUID が必要になります。
  5. 署名のために、CSR を内部または商用の認証局に、それぞれの認証局の手順に従って送信します。

    この手順で、CSR ファイルを開いて、BEGIN マーカーと END マーカーの間に含まれているエンコードされたテキストのブロックをコピーすることが必要な場合があります。

    重要: Disconnected Log Collectorの証明書に署名するには、プライベート認証局が必要です。 会社のインフラストラクチャの一部としてプライベート認証局がまだない場合は、作成できます。 例えば、Easy-RSA は、認証局を作成するために使用できる公開ツールです。 詳しくは、 Easy-RSA (https://github.com/OpenVPN/easy-rsa) を参照してください。
  6. 返されたクライアント証明書を /tmp ディレクトリーまたは任意の場所にコピーします。
  7. クライアント証明書が PEM (Base64 ASCII) 形式であることを確認してください。 証明書が DER (バイナリー) 形式である場合、以下のコマンドを入力して PEM 形式に変換します。
    openssl x509 -inform der -in <certificate_file_name>.der -out <certificate_file_name>.pem
    PEM ファイルには、BEGIN マーカーと END マーカーの間にある、エンコードされたテキストのブロックが含まれます。
  8. 次のコマンドを入力してクライアント証明書を PKCS#12 形式に変換し、プロンプトが出されたら、セキュアなパスワードを選択します。
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -p12 
    /tmp/<signed_certificate_file_name>
    生成された Personal Information Exchange (PFX) 形式ファイルは /opt/ibm/si/services/dlc/keystore/dlc-client.pfx として保存され、必要な PFX 情報は /opt/ibm/si/services/dlc/conf/config.json ファイルに保管されます。
  9. 次のコマンドを入力して、 Disconnected Log Collector を再始動します。
    systemctl restart dlc