データ要素暗号化
ミラーリングおよび TLS について
InterSystems IRIS® データ・プラットフォームによるミラーリングのサポートに関する一般情報は、"ミラーリング" を参照してください。
ミラー内でセキュリティを実現するために、TLS を使用するようにミラーのノードを構成できます。こうすると、1 つのノードから別のノードへの認証と、ノード間での暗号化された通信の両方が提供されます。フェイルオーバー・メンバの間で (および非同期メンバに対して) は、機密性の高いデータが受け渡しされるため、通信を暗号化して、ネットワークでデータが盗難も改ざんもされないようにすることをお勧めします。また、フェイルオーバー・メンバには、別の InterSystems IRIS システムに対してアクション (ジャーナル・ファイルの情報の要求や InterSystems IRIS の強制終了など) を実行するように ISCAgent に要求する機能があるため、ミラーのフェイルオーバー・メンバ (および対応する ISCAgent プロセス) の間でこのような通信を保護することは重要です。
フェイルオーバー・メンバがデータベース (またはジャーナル) の暗号化を使用している場合は、フェイルオーバー・メンバ間および任意の非同期メンバとの通信に TLS が必要です(特に、InterSystems IRIS は、どちらかのメンバが暗号化キーを有効化しているかどうかをチェックします。有効化している場合、インスタンスではユーザがミラーリングで TLS を有効化する必要があります)。データベース暗号化およびジャーナル・ファイル暗号化の詳細は、"暗号化ガイド" を参照してください。
(フェイルオーバー・メンバとして、または非同期メンバとして) ミラーリングに参加し、かつ TLS を使用するためには、インスタンスに 2 つの InterSystems IRIS TLS 構成 (サーバ・タイプとクライアント・タイプ) が必要です。またこれらの構成それぞれに、信頼された認証局によって発行された X.509 TLS 証明書が必要です。各ミラー・ホストが独自の証明書セットを持ち、この証明書には、証明書の共通名 (CN) コンポーネントに一意の識別子 (例えば、インスタンスの完全修飾ドメイン名 (FQDN) とメンバの InterSystems IRIS ノード名の組み合わせ) を含めることをお勧めします。これは、CN が証明書の識別名 (DN) のフィールドであり、一意の CN を作成すると、証明書の DN がメンバを一意に識別できるようになるためです。インスタンスのミラーリング構成を作成するには、次のセクションにある以下の手順を実行します。
TLS が有効になっている場合は、以下のアクションが行われます。
-
サーバ認証 : クライアントがサーバに接続すると、サーバが自らを認証することが要求されます。この認証は、サーバの証明書の DN が、クライアントのミラー構成で構成されたシステムの DN と一致することを確認します。一致しない場合、クライアントは接続を切断します。
-
クライアント認証 : サーバがクライアントからの接続を受け入れると、クライアントが自らを認証することが要求されます。この認証も、クライアントの DN が、サーバのミラー構成で構成されたシステムの DN と一致することを確認します。ここでも、一致しない場合、サーバは接続を切断します。
-
暗号化 : TLS プロトコルは、サーバの証明書を自動的に使用して、クライアントとサーバの間に暗号化されたチャンネルを確立し、このチャンネルを通過するデータがあればすべて暗号化され、保護されるようにします。
ミラーでは TLS を使用することを強くお勧めします。
ミラーで TLS を使用する場合は、そのミラーの TLS を有効化して各メンバの構成を作成 (後続のセクションを参照) するだけでなく、第 2 のフェイルオーバー・メンバまたは非同期メンバの構成時に特別な手順を実行する必要があります。詳細は、"第 2 のフェイルオーバー・メンバまたは非同期メンバを承認する (TLS ミラーのみ)" を参照してください。具体的には、フェイルオーバー・メンバごとに、[ミラーモニタ] ページで、[メンバの X.509 証明書に DN としてリストされている ID] フィールドに DN (識別名) を入力する必要があります。DN の値は、非同期メンバの [非同期として参加] ページ ([システム管理]→[構成]→[ミラー設定]→[非同期として参加]) の [X.509 識別名] フィールドからコピーできます (InterSystems IRIS は、非同期メンバの証明書の情報に基づいて [X.509 識別名] フィールドに生成し、このフィールドを手動で編集できないようにします)。
既存のミラーで TLS を無効にする場合は、プライマリ・メンバで無効にします。
ミラーリングでは TLS を使用することを強くお勧めします。ミラーで TLS を無効にしないことを強くお勧めします。
ミラー用 TLS 構成の作成および編集
TLS をミラーで使用するには、(フェイルオーバーまたは非同期の) 各メンバは、%MirrorClient および %MirrorServer と呼ばれる TLS 構成のペアを使用します。ポータルでは、これらの構成の作成および編集が可能です。
これらの構成は、ミラーで TLS が有効になっているときに、各メンバ上に既に存在している必要があります。
ミラー・メンバ用 TLS 構成の作成
この構成を作成する手順は以下のとおりです。
-
InterSystems IRIS のインスタンスのミラーリングがまだ有効になっていない場合は有効にします。そのためには、%Service_Mirror サービスの [サービス編集] ページを使用し、このページで [サービス有効] チェック・ボックスにチェックを付けます。このページには、以下の 2 つのパスのいずれかを使用して移動できます。
-
[ミラー設定] ページ ([システム管理]→[構成]→[ミラー設定]) で、[ミラーサービスを有効にする] を選択する。
-
[サービス] ページ ([システム管理]→[セキュリティ]→[サービス]) で、[%Service_Mirror] を選択する。
-
-
[ミラー用 SSL/TLS 構成の作成] ページに移動します。これには、以下のいずれかの方法を使用します。
-
[SSL/TLS 構成] ページ ([システム管理]→[セキュリティ]→[SSL/TLS 構成]) で [ミラーのための構成を作成] を選択します。
-
[ミラーの作成] ページ ([システム管理]→[構成]→[ミラー設定]→[ミラーの作成]) で、[SSL/TLS の構成] を選択します。
-
-
[ミラーのための SSL/TLS 構成を作成] ページでフォームの各フィールドに入力します。このページのフィールドは、[新規 SSL/TLS 構成] ページにあるフィールドの一部と同じです ("TLS 構成の作成または編集Opens in a new tab" を参照)。このページは、ミラーリングが自動的に有効になるサーバ構成とクライアント構成 (%MirrorClient と %MirrorServer) の両方を作成するため、[構成名]、[説明]、[有効] のいずれのフィールドもありません。また、秘密鍵パスワードに関しては、このページでパスワードの入力または置き換え ([新規パスワード入力])、パスワードを使用しないことの指定 ([パスワードクリア])、あるいは既存のパスワードをそのまま使用すること ([そのままにする]) の指定を行えます。
両方の構成で同じ X.509 証明書が必要なため、このフォームの入力が完了すると両方の構成が同時に保存されます。このページの "TLS 構成の作成または編集Opens in a new tab" で説明しているフィールドは以下のとおりです。
-
[信頼済み認証局の証明書を含むファイル]
Note:このファイルには、他のミラー・メンバに属する X.509 証明書の検証に使用できる証明書が含まれている必要があります。ファイルに複数の証明書が含まれている場合は、それらの証明書を正しい順序で (現在のインスタンスの証明書が最初になるように) 並べる必要があります。詳細は、"必須証明書チェーンの確立" を参照してください。
-
[このサーバの認証情報] :
-
[関連づけられた秘密鍵を含むファイル]
-
[秘密鍵タイプ]
-
[秘密鍵パスワード]
-
[秘密鍵パスワード(再入力)]
-
-
[暗号方式設定] :
-
[最小プロトコルバージョン]
-
[最大プロトコルバージョン]
[有効な暗号リスト (TLSv1.2以下)]
-
[有効な暗号スイート (TLSV1.3)]
-
[DiffieHellmanビット数]
-
-
[OCSP 設定]
-
[OCSP Stapling]
-
フォームの入力が完了したら [保存] をクリックします。
-
ミラー・メンバの構成に関する一般情報は、"ミラーの作成" を参照してください。
ミラー・メンバ用 TLS 構成の編集
メンバの %MirrorClient 構成と %MirrorServer 構成の作成が済んでいる場合、それらの構成は [ミラーのための SSL/TLS 構成を編集] ページ ([システム管理]→[セキュリティ]→[SSL/TLS 構成] で [ミラーのための構成を編集] をクリック) で編集できます。このページには、前のセクションで説明した [ミラー用 SSL/TLS 構成の作成] ページと同じフィールドが表示されます。
ミラー・メンバの証明書に関する特別な考慮事項
TLS をミラーリングで使用する場合、%MirrorClient と %MirrorServer の構成では、同じ証明書と秘密鍵を使用する必要があります。したがって、両方の構成で使用されている証明書は、サーバ証明書としてもクライアント証明書としても使用可能である必要があります。
TLS のクライアントまたはサーバに固有の証明書エクステンションがあります。ミラーリングで使用されている証明書は、両方 (クライアントおよびサーバとして) の使用が可能である必要があるため、これらエクステンションのいずれかが証明書にある場合、クライアントとサーバの両方のエクステンションが必要になります。例えば、これは鍵用途および拡張鍵用途エクステンションで当てはまります。鍵用途エクステンションがある場合、以下の両方を指定する必要があります。
-
デジタル・シグニチャの鍵用途 (クライアント用)
-
鍵暗号化の鍵用途 (サーバ用)
同様に、拡張鍵用途エクステンションがある場合、以下の両方を指定する必要があります。
-
クライアント認証の鍵用途
-
サーバ認証の鍵用途
両方のエクステンションがある場合、それぞれが両方の値を指定する必要があります。もちろん、エクステンションがどちらもない場合も有効です。
証明書で 1 つの値のみ (クライアントまたはサーバ) を指定した場合、ミラーリングの TLS 接続は、以下のようなエラーにより失敗します。
error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate
このエラーを解消する方法は、証明書の入手方法によって次のように異なります。
-
自己署名証明書を使用している場合、これらの条件に従った (OpenSSL ライブラリなどによる) 新しい証明書を作成します。
-
商用認証機関ツール (Microsoft Certificate Services など) を使用している場合、これらの条件に従った新しい証明書を作成し、このツールを使用して証明書署名要求 (CSR) に署名します。
-
証明書を商用認証機関 (VeriSign など) から購入した場合、証明書がこれらの条件に従うことの要求を CSR と共に含めます。