Denodo Platform での SSL/TLS の有効化

このセクションでは、Denodo Platform サーバー、その管理ツール、およびそのクライアントの間の接続を SSL (TLS) で保護する方法を説明します。

このマニュアルでは SSL と呼んでいますが、実際には SSL の後継の暗号化プロトコルである TLS (Transport Layer Security) を有効化します。

SSL を使用するには、証明書リポジトリを構成する必要があります。証明書リポジトリには、以下の 2 種類があります。

  • キーストア

  • トラストストア

キーストア

着信 SSL 接続をリッスンするアプリケーションは、クライアントがサーバーにアクセスできるようにするために、公開キーと秘密キーを必要とします。Java では、これらのキーは キーストア と呼ばれるリポジトリに保存されます。

トラストストア

SSL 接続の初期化中に、サーバーはその SSL 証明書をクライアントに送信します。クライアントはここでその証明書を信頼するかどうかを決定する必要があります。これを行うために、クライアントは、証明書が信頼できる証明機関 (CA) によって署名されているかどうかを確認します。 トラストストア は、信頼できる証明機関の証明書のリポジトリです。

すべての Java インストールには、JRE がデフォルトで使用する トラストストア (<DENODO_HOME>/jre/lib/security/cacerts ファイル) が付属しています。サーバーの証明書が信頼できる機関によって署名されていない (すなわち、Java の トラストストア に登録されていない) 場合、その機関の証明書を、Denodo Platform サーバーとそのツールの起動に使用される Java Runtime Environment (JRE) の cacerts ファイル (<DENODO_HOME>/jre/lib/security/cacerts) に保存する必要があります。

Denodo Platform に含まれている Java Runtime Environment (JRE) には、 証明書リポジトリ を管理する keytool と呼ばれるユーティリティが付属しています。

Denodo Platform also includes a script that can automate most of the configuration required for enabling SSL/TLS. The section Denodo SSL/TLS Configurator Script explains how to use it.

以下の各セクションで、Denodo Platform とその外部クライアントにわたって SSL/TLS を構成する方法について説明します。

Denodo Platform サーバーでサポートされる SSL/TLS のバージョン

Denodo サーバーで SSL (TLS) が有効化されている場合、使用する TLS のバージョンは、通信に関与するコンポーネントの構成によって異なります。分かりやすくするために、ここでは SSL と呼びますが、SSL は実際に使用されることはなく、TLS のみが使用されます。

Denodo サーバーと他のコンポーネントの間のトラフィックの暗号化に使用されるプロトコル

関与するコンポーネント

トラフィックの暗号化に使用されるプロトコル

Denodo サーバー間のトラフィック。たとえば、Scheduler が Virtual DataPort Server に接続してクエリを実行する場合。

TLS 1.2

Denodo サーバーと Denodo Web コンテナーの間のトラフィック。たとえば、REST サービスがクエリの実行に関わる要求を受信する場合、このトラフィックは、たとえ同一ホスト内で発生していても、暗号化されます。

TLS 1.2

Denodo サーバーと、DF、Excel、JSON、XML、および https サービスへの HTTP ルートを使用するカスタムデータソースとの間のトラフィック

TLS 1.2

管理ツールと Virtual DataPort Server の間のトラフィック

TLS 1.2

Virtual DataPort Server と JDBC クライアントアプリケーションの間のトラフィック

TLS 1.2

Virtual DataPort Server と ODBC クライアントアプリケーションの間のトラフィック

TLS 1.2

Denodo Web コンテナーとそのクライアントの間のトラフィック

TLS 1.2