セキュリティと証明書
Q1ASTERIA Warpで使用するSSLプロトコルのバージョンを知りたいのですが?
A
ASTERIA Warpでは、SSL機能を実現するためにJavaVMに標準で添付されているJSSEを使用しています。(各バージョンにバンドルされているJavaVMのバージョンについてはREADME.txtを参照ください。) 使用しているSSLプロトコルのバージョンは、HTTPS、POPS、IMAPS、SMTPS、LDAPSのいずれも以下の対応になります。
- TLS1.0 / TLS1.1 / TLS1.2
📝 NOTE
これらを変更する機能や確認画面等はありません。
Q2使用可能な暗号化方式群を教えてください
A
SSL通信で対応している暗号化方式群はOracle社の下記資料をご参照ください。
Java Cryptography Architecture Oracle Providers Documentation - SunJSSE Protocols
上記ページの「暗号化方式群」の表でX印が使用可能です。
📝 NOTE
ASTERIAでは「デフォルトで無効になっている暗号化方式群」も使用可能です。
ASTERIA WarpのバージョンとJDK(JRE)のバージョンは以下の組み合わせです。
- ASTERIA Warp4.0〜4.6はJDK 6を使用 SSL 3.0 / TLS1.0
- ASTERIA Warp4.7〜4.8はJDK 7を使用 SSL 3.0 / TLS1.0
- ASTERIA Warp4.9はJDK 8を使用 TLS1.0 / TLS1.1 / TLS1.2
- ASTERIA Warp1610以降は外部のJava(通常JDK 8)を使用 TLS1.0 / TLS1.1 / TLS1.2
📝 NOTE
表中に注釈がありますがSSLのバージョンに依存するものもありますのでご注意ください。(TLS 1.2以降でのみ使用可など)
SFTPにつきましてはFAQ「SFTPサーバー接続時に使用できる暗号化アルゴリズムは何ですか?」をご確認ください。
Q3SFTPサーバー接続時に使用できる暗号化アルゴリズムは何ですか?
A
接続先のSFTPサーバーで、FTPコネクション・FTPコンポーネントが対応している暗号化アルゴリズムが許可されていない場合に「java.util.NoSuchElementException: no common elements found」というメッセージを含むエラーが出力されることがあります。
対応している暗号化アルゴリズムは以下のとおりです。許可されていないアルゴリズムしか使えないSFTPサーバーに接続すると上記エラーが発生します。
鍵交換アルゴリズム
FTPコネクション、FTPコンポーネントでSFTPを指定した場合に対応している鍵交換アルゴリズムは以下となります。
| 種別 | アルゴリズム |
|---|---|
| KexAlgorithms | diffie-hellman-group1-sha1、diffie-hellman-group14-sha1、diffie-hellman-group-exchange-sha1、diffie-hellman-group-exchange-sha256 |
| MACs | hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-sha2-256、hmac-sha2-256-96、hmac-sha2-512、hmac-sha2-512-96 |
| Encryption Ciphers | blowfish-cbc、aes128-cbc、aes192-cbc、aes256-cbc、twofish192-cbc、twofish256-cbc、twofish-cbc、serpent128-cbc、serpent192-cbc、serpent256-cbc、cast-cbc、idea-cbc、three-des-cbc、blowfish-ctr、aes128-ctr、aes192-ctr、aes256-ctr、twofish192-ctr、twofish256-ctr、serpent128-ctr、serpent192-ctr、serpent256-ctr、idea-ctr、cast-ctr、three-des-ctr、arcfour128、arcfour256、arcfour |
バージョン1712以前:
| 種別 | アルゴリズム |
|---|---|
| KexAlgorithms | diffie-hellman-group1-sha1 |
| MACs | hmac-md5、hmac-sha1 |
| Encryption Ciphers | blowfish-cbc、3des-cbc |
ホスト鍵の暗号化形式
対応している接続先サーバーのホスト鍵の暗号化形式は以下となります。
rsa-sha2-512
rsa-sha2-256
ecdsa-sha2-nistp256
ssh-ed25519
バージョン2206以前:
ssh-rsa
ssh-dss
SAP Concur では以下のセキュリティポリシー更新の影響で、制限に該当する可能性があります。(2024年4月時点の情報) SAP Concur リリースノート 2024年3月(日本語)
Q4SFTPサーバー接続時に使用できる公開鍵認証のキーファイルの形式は何ですか?
A
FTPコネクション、FTPコンポーネントでパスフレーズ付きの公開鍵認証で使用できるキーファイルの形式は下記ドキュメント内の内容を参照してください。
ASTERIA Warp 2206以前のバージョンについては以下を参照してください。
鍵の形式と暗号方式の組み合わせになりますので注意してください。
| 鍵の形式 (キーファイルを作成したソフトウェア) | 暗号方式 |
|---|---|
| OpenSSH | DES-EDE3-CBC |
| OpenSSH | AES-128-CBC ※1 |
| PuTTY | AES-256-CBC |
| SSHCom | 3DES-CBC |
📝 NOTE
1:ASTERIA Warp 1806以降上記組み合わせ以外のキーファイルを使用した場合はFAQ「SFTPサーバーに公開鍵認証で接続すると「InvocationTargetException」というエラーが出力されます」のエラーが発生します。
Q5Warp2206以前でJava1.8.0_351以降を使用するとSFTPコネクションテストでエラーが発生する
A
Warp2206以前のバージョンでOracle jdk1.8.0_351を使用していると、SFTPコネクション接続テストで下記エラーが発生します。
JCE cannot authenticate the provider BC
com.infoteria.asteria.connection.FTPConnection.open(FTPConnection.java:633)
これはJDKの1.8.0_351でSHA-1で署名されたjarファイルを無効にするという修正が原因です。
JDK1.8.0_351リリースノートの「Disabled SHA-1 Signed JARs (JDK-8269039)」の項目です。
回避策としては以下のいずれかの方法が考えられます。
- JDKのバージョンを351より前のバージョンにする
- JDKのリリースノートに記載されている [Java path]/lib/security/java.security ファイルの、「jdk.jar.disabledAlgorithms」の項目の「SHA1 denyAfter 2019-01-01」の文字列を削除する
Q6ASTERIA Warpでの証明書の鍵長を2,048bitにするにはどのようにすればよいですか?
A
フローサービス管理コンソールでの自己署名証明書の作成時に指定します。
バージョン4.8.0以降の場合
サーバー証明書 フローサービス管理コンソールの「設定」-「SSL」-「サーバー証明書」画面で「作成」ボタンをクリックし、証明書の作成画面の「鍵のサイズ」で「2048ビット」を選択して「作成」をクリックします。
クライアント証明書 フローサービス管理コンソールの「設定」-「SSL」-「クライアント証明書」画面で「作成」ボタンをクリックし、証明書の作成画面の「鍵のサイズ」で「2048ビット」を選択して「作成」をクリックします。
バージョン4.7.1以前の場合
サーバー証明書 フローサービス管理コンソールの「設定」-「SSL」-「サーバ証明書」画面で「証明書の作成」ボタンをクリックし、証明書の作成画面の下部にある「詳細設定」をチェックし、表示された「鍵のサイズ」で「2048ビット」を選択して「作成」をクリックします。
クライアント証明書 フローサービス管理コンソールの「設定」-「SSL」-「クライアント証明書」画面で「証明書の作成」ボタンをクリックし、証明書の作成画面の下部にある「詳細設定」をチェックし、表示された「鍵のサイズ」で「2048ビット」を選択して「作成」をクリックします。
Q7ベリサイン社SSL証明書(サーバ証明書)の有効期限切れに伴う更新はどのようにすればよいですか?
A
すでにベリサイン社の証明書を格納して運用している場合の更新手順は下記のとおりです。
現在使用中の証明書は必ず事前にバックアップしてください。
1)認証に必要なCSRを取得する
この方法には次の3つのケースがあります。
-
前回申請に使用されたCSRが残っていればそれを使う
-
現在の自己証明書よりCSRをダウンロードする
バージョン4.8.0以降の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバー証明書」画面で「CSRのエクスポート」を行います。
バージョン4.7.1以前の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバ証明書」画面で「エイリアス一覧」にて現在の証明書を選択して「CSRのダウンロード」を行います。
- 新規の自己証明書を作成してCSRをダウンロードする
バージョン4.8.0以降の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバー証明書」画面で - 表示されている証明書を「削除」する - 「作成」新規に自己証明書を作成する - 表示されている証明証の「CSRのエキスポート」を行う
バージョン4.7.1以前の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバ証明書」画面で - 「エイリアス一覧」にてすべての証明書を選択して「削除」する - 「証明書の作成」新規に自己証明書を作成する - 「エイリアス一覧」にて上記証明書を選択して「CSRのダウンロード」を行う
この場合ベリサイン社で更新手続きをするためには、前回と同じディスティングイッシュネームにする必要があるようです。
詳しくはVeriSign社のWebサイト等で確認してください。
2)そのCSRを使用して、VeriSign社に認証を申請する
手順や手続きの詳細は弊社ではご案内できませんので、ベリサイン社のWebサイト等で確認してください。
3)認証された証明書でインポートする
バージョン4.8.0以降の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバー証明書」画面で「証明証の格納」を行います。
バージョン4.7.1以前の場合 フローサービス管理コンソールの「設定」-「SSL」-「サーバ証明書」画面で「証明書の格納」を行います。
4)フローサービスを再起動する
VeriSign社の証明書をインポートする際の手順については、「フローサービスマニュアル」の「運用ガイド」-「詳細なトピック」-「VeriSign社発行の証明書のインストール方法」を参照してください。
Q8フローサービス管理コンソールへHTTPS接続することはできますか?
A
バージョン2106からは、フローサービス管理コンソールへHTTPS接続することができます。
Q9通信先のサーバー証明書が変更されました。ASTERIA Warp側では何をすればよいですか?
A
ASTERIA WarpがクライアントとなってHTTP通信をする場合、通信相手のサーバー証明書が更新されたときには、場合によって以下のように対応してください。
サーバー証明書を発行した認証局が変更されていない場合
何もする必要はありません。
サーバー証明書を発行した認証局が変更された場合
その認証局がASTERIA Warpに信頼する認証局として登録されていなければ、登録する必要があります。
中間認証局があり、その中間認証局が変更された場合
中間認証局の証明書を登録します。
サーバー認証局証明書の追加やインストールされている証明書の確認は、フローサービス管理コンソールの「設定」-「SSL」-「サーバ認証局」で行います。手順の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「サーバ認証局」を参照してください。
Q10ベリサイン社の証明書を使用することはできますか?
A
はい、可能です。
ベリサイン社の証明書を使用する場合、中間証明書が必要になります。詳細については「フローサービスマニュアル」の「運用ガイド」-「詳細なトピック」-「VeriSign社発行の証明書のインストール方法」を参照してください。
接続時にエラーになる場合
ベリサイン社の発行しているサーバー証明書は、通常、中間認証局と呼ばれる認証局から発行されます。ベリサイン社のルート認証局から直接サーバー証明書を発行するのではなく、ルート証明書から認証された中間認証局と呼ばれる認証局からサーバー証明書を発行します。
SSL通信では、SSLサーバーから受信したサーバー証明書がクライアント側で信頼している認証局から発行されている証明書かどうかを確認して通信が許可される仕組みになっています。ASTERIA Warpでは、ベリサイン社のルート認証局の証明書だけではサーバー証明書が信頼できるかどうかを確認できないため、中間認証局の証明書をASTERIA Warp側に登録しておく必要があります。
ASTERIA Warpへの中間証明書の登録は、フローサービス管理コンソールの「設定」-「SSL」-「サーバ認証局」で行います。登録手順の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「サーバ認証局」を参照してください。
Q11SSLサーバー証明書を複数登録して運用することはできますか?
A
サーバー証明書は1つだけ登録することができます。複数登録することはできません。
Q12コンポーネントからHTTPSサーバーに接続したいのですが、証明書はどこに登録すればいいですか?
A
ASTERIA WarpがHTTPクライアントになる場合、HTTPSでサーバーへ接続するためにASTERIA Warpに接続先のサーバー証明書を発行した認証局の証明書を登録する必要があります。
ASTERIA Warpには、よく使われる認証機関の証明書が初期状態ですでにインストールされています。インストールされていない認証機関を使った場合、認証機関の証明書が更新されたり期限切れになったりした場合、自己署名証明書を使っている場合などはあらためて証明書を追加する必要があります。
サーバー認証局証明書の追加やインストールされている証明書の確認は、フローサービス管理コンソールの「設定」-「SSL」-「サーバー認証局」で行います。手順の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「サーバー認証局」を参照してください。
また、接続するHTTPサーバーによってはクライアント認証機能を使用して接続クライアントを制限している場合があります。
このような場合はASTERIAにクライアント証明書を登録しておく必要があります。
クライアント証明書の登録は、フローサービス管理コンソールの「設定」-「SSL」-「クライアント証明書」で証明書を作成するか、認証機関で発行された証明書をインポートすることができます。クライアント証明書の登録手順の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「クライアント証明書」を参照してください。
Q13ASTERIA WarpをHTTPSサーバーにしたいのですが、証明書はどこに登録すればいいですか?
A
ASTERIA WarpがHTTPサーバーになる場合、HTTPSでの接続を受け付けるためにASTERIA Warpにサーバー証明書を登録する必要があります。
サーバー証明書の登録は、フローサービス管理コンソールの「設定」-「SSL」-「サーバ証明書」で証明書を作成するか、認証機関で発行された証明書をインポートすることができます。サーバー証明書の登録手順の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「サーバ証明書」を参照してください。
また、HTTPSでの接続を受け付けるときにクライアント認証機能を使用して接続クライアントを制限したい場合があります。
このような場合は、フローサービス管理コンソールの「設定」-「サービス」-「フロー」-「HTTPSリスナー」の「クライアント認証」を「する」に設定した上で、認証したいクライアントで使用しているクライアント証明書を発行した認証機関の証明書を管理コンソールの「設定」-「SSL」-「クライアント認証局」で追加します。クライアント認証局証明書追加の詳細については「フローサービス管理コンソールオンラインヘルプ」の「設定」-「SSL」-「クライアント認証局」を参照してください。
Q14ASTERIA Warpのアカウントのパスワードに制約をつけることはできますか?
A
ASTERIA Warpのアカウントの管理では、使用可能な文字種や文字数を制限したりパスワードに期限を設定して変更を促したりする機能はありません。
Q15ASTERIA Warpのアカウントのユーザー名、パスワードに使える文字は?
A
次の条件があります。これに一致しない文字を入力した場合はエラーとなります。
ユーザー名
- 半角の英字、数字、アンダースコア(_)、マイナス記号(-)、ドット(.)が使用可能
- 1文字目はアンダースコア(_)か英字のみ使用可能
- 文字列の長さには制限なし
- 英字の大文字と小文字は区別される
📝 NOTE
Windows環境で、ホームディレクトリのパスは英字の大文字と小文字が区別されません。
パスワード
- 半角文字が使用可能
- 文字列の長さには制限なし
- 英字の大文字と小文字は区別される