データベースへの暗号化接続の有効化

オンライン編集

サーバー・データベースと License Metric Tool サーバ・データベースと BigFix® サーバ・データベースへの暗号化接続を有効にすることができます。

データベースへの暗号化接続を有効にする License Metric Tool データベース

オンライン編集

License Metric Tool サーバーとそのデータベースとの間の暗号化接続を有効にすることができます。

開始前に

License Metric Tool サーバーのインストールが完了したら、暗号化接続を有効にします。
暗号化された接続が License Metric Tool データベース・サーバーで有効になっていること、およびデータベース証明書を含むトラストストアが PKCS#12 形式であることを確認してください。暗号化接続を有効にする方法については、以下のリンクを参照してください。
- のTLSコンフィギュレーション Db2
- データベースエンジンへの暗号化接続の有効化
暗号化接続を有効にすると、データベースのパフォーマンスが低下する可能性があります。

このタスクについて

アプリケーション・アップデート 9.2.32 以降、サーバーと MS データベース間の接続はデフォルトで暗号化されます。 License Metric Tool サーバーと MS SQL Server データベース間の接続は、デフォルトで暗号化されます。ただし、 License Metric Tool は、MS SQL Server データベースによって提示されるすべての証明書を信頼するように設定されています。 trustServerCertificate パラメーターの値を false に設定し、証明書が信頼されるために満たす必要がある基準を定義することにより、暗号化をさらに強化することができます。

手順

DB2 データベースへの暗号化接続を有効にするには、以下の手順を実行します。
1. トラストストアを db_truststore.p12 ファイルとして保存し、 License Metric Tool サーバーのインストール・ディレクトリーの security サブディレクトリーに配置します。デフォルトでは、このサブディレクトリーは /opt/ibm/LMT/wlp/usr/servers/server1/resources/securityにあります。
2. server.xml ファイルを開きます。デフォルトでは、このファイルは /opt/ibm/LMT/wlp/usr/servers/server1/server.xmlにあります。
3. server.xml ファイルで properties.db2.jcc エレメントを見つけます。データベース接続ストリングにパラメーターとして含める、このエレメントの属性をリストにして指定します。既にリストされている属性は削除しないでください。
  以下の例は、properties.db2.jcc エレメントに追加できる属性とその意味を示しています。シナリオに応じて、他の属性を指定することもできます。
```
<dataSource id='DatabaseConnection' jndiName='jdbc/ilmtDatabaseConnection'>
    <jdbcDriver libraryRef='DatabaseLib'/>
    <properties.db2.jcc databaseName='TEMABVT' driverType='4' enableExtendedIndicators='2' 
    password='{aes}<encrypted_password>' portNumber='50001' serverName='192.0.2.0' user='db2inst1'
    sslConnection='true' sslTrustStoreLocation='resources/security/db_truststore.p12' 
    sslTrustStorePassword='{aes}<encrypted_password>' sslTrustStoreType='PKCS12'/>
  </dataSource>
```
  各項目の意味は次のとおりです。
  sslConnection
  
  この属性を true に設定すると、 License Metric Tool サーバーとそのデータベースとの間の暗号化接続が有効になります。
  
  sslTrustStoreLocation
  
  db_truststore.p12 ファイルの相対パスまたは絶対パス。
  
  sslTrustStorePassword
  トラストストアのパスワード。パスワードは、プレーン・テキストで指定することも、エンコードして指定することもできます。トラストストアのパスワードをエンコードするには、以下のステップを実行します。
  
  JAVA_HOME 変数を設定します (export JAVA_HOME=<install_dir>/jre/jre)。
  
  以下のコマンドを実行します。
  <install_dir>/wlp/bin/securityUtility encode --encoding=aes
  
  プロンプトが出されたら、トラストストアのパスワードを入力して再入力します。
  
  エンコードされたパスワードを保存します。それを sslTrustStorePassword パラメーターに指定します。
  sslTrustStoreType
  
  トラストストアのタイプ。 License Metric Toolでは、 PKCS12 のみがサポートされます。
4. 暗号化接続でデフォルト以外のポートを使用してデータベースに接続する場合は、 server.xml ファイルおよび database.yml ファイル内のポート番号を変更します。
  - server.xml ファイルを開き、properties.db2.jcc エレメントの portNumber 属性に正しいポート番号を指定します。デフォルトでは、このファイルは /opt/ibm/LMT/wlp/usr/servers/server1 にあります。
  - database.yml ファイルを開き、port エレメントに正しいポート番号を指定します。デフォルトでは、このファイルは /opt/ibm/LMT/wlp/usr/servers/server1/config にあります。
5. License Metric Tool サーバーを再始動します。
  1. License Metric Tool サーバーを停止する。
  2. Start the License Metric Tool server.
MS SQL Server データベースへの暗号化された接続を有効化または強化するには、以下の手順を実行します。
1. トラストストアを db_truststore.p12 ファイルとして保存し、 License Metric Tool サーバーのインストール・ディレクトリーの security サブディレクトリーに配置します。デフォルトでは、このサブディレクトリーは C:\Program Files\IBM\LMT\wlp\usr\servers\server1\resources\securityにあります。
2. server.xml ファイルを開きます。デフォルトでは、このファイルは C:\Program Files\IBM\LMT\wlp\usr\servers\server1\server.xmlにあります。
3. server.xml ファイルで properties.microsoft.sqlserver エレメントを見つけます。データベース接続ストリングにパラメーターとして含める、このエレメントの属性をリストにして指定します。既にリストされている属性は削除しないでください。
  以下の例は、properties.microsoft.sqlserver エレメントに追加できる属性とその意味を示しています。シナリオに応じて、他の属性を指定することもできます。
```
<dataSource id='DatabaseConnection' jndiName='jdbc/ilmtDatabaseConnection'>
    <jdbcDriver libraryRef='DatabaseLib'/>
    <properties.microsoft.sqlserver databaseName='temadb' lockTimeout='180000' password='<password>'
    serverName='192.0.2.0' user='sa' trustServerCertificate='false' encrypt='true' 
    trustStore='resources/security/db_truststore.p12' trustStorePassword='{aes}<encrypted_password>' 
    trustStoreType='PKCS12'/>
  </dataSource>
```
  各項目の意味は次のとおりです。
  encrypt
  
  この属性を true に設定すると、 License Metric Tool サーバーとそのデータベースとの間の暗号化接続が有効になります。
  
  trustServerCertificate
  
  属性が trueに設定されている場合、 License Metric Tool は、MS SQL Server データベースによって提示されるすべての証明書を信頼します。この場合、trustStore、trustStorePassword、および trustStoreType パラメーターを指定する必要はありません。
  属性が falseに設定されている場合、 License Metric Tool は、 trustStore、 trustStorePassword、および trustStoreType パラメーターで指定された基準を満たす証明書のみを信頼します。この方法のほうが安全です。
  
  trustStore
  
  db_truststore.p12 ファイルの相対パスまたは絶対パス。
  
  trustStorePassword
  トラストストアのパスワード。パスワードは、プレーン・テキストで指定することも、エンコードして指定することもできます。トラストストアのパスワードをエンコードするには、以下のステップを実行します。
  
  JAVA_HOME 変数を設定します (set JAVA_HOME=<install_dir>\jre\jre)。
  
  以下のコマンドを実行します。
  <install_dir>\wlp\bin\securityUtility encode --encoding=aes
  
  プロンプトが出されたら、トラストストアのパスワードを入力して再入力します。
  
  エンコードされたパスワードを保存します。それを trustStorePassword パラメーターに指定します。
  trustStoreType
  
  トラストストアのタイプ。 License Metric Toolでは、 PKCS12 のみがサポートされます。
4. server.xml ファイル内の serverName エレメントの値と、 database.yml ファイル内の host エレメントの値が、データベース証明書のサブジェクト代替名 (SAN) 内の共通名 (CN) または DNS 名と一致していることを確認してください。
  - server.xml ファイルを開き、serverName エレメントの値を確認します。正しくない場合は変更します。デフォルトでは、このファイルは C:\Program Files\IBM\LMT\wlp\usr\servers\server1 にあります。
  - database.yml ファイルを開き、host エレメントの値を確認します。正しくない場合は変更します。デフォルトでは、このファイルは C:\Program Files\IBM\LMT\wlp\usr\servers\server1\config にあります。
5. License Metric Tool サーバーを再始動します。
  1. License Metric Tool サーバーを停止する。
  2. Start the License Metric Tool server.

BigFix データベースへの暗号化接続の有効化

オンライン編集

BigFix データベースとして使用される MS SQL Server との暗号化接続を有効にすることができます。この場合、 BigFix サーバーと License Metric Tool サーバーの両方が、 BigFix データベースとして使用される MS SQL Server によって提示されるすべての証明書を信頼します。

このタスクについて

アプリケーションの更新 9.2.32 以降、サーバーと MS データベース間の接続はデフォルトで暗号化されます。 BigFix サーバーと MS SQL Server データベース間の接続はデフォルトで暗号化されており、追加の手順は必要ありません。

手順

BigFix データベースへの接続を暗号化するには、暗号化接続を強制するように MS SQL Server を構成します。詳細については、以下を参照してください：データベース・エンジンへの暗号化接続を有効にする。