Denodo SSL/TLS 構成スクリプト¶
SSL/TLS 構成スクリプトにより、Denodo Platform と Solution Manager の Web コンテナー (Apache Tomcat) を含むすべてのモジュールで SSL 有効化のプロセスを自動化できます。
このスクリプトは、 <DENODO_HOME>/bin/denodo_tls_configurator
にあり、以下のアクションを実行します。
指定された秘密キーでキーストアを生成する (一部のシナリオのみ)。
選択したトラストストアの指定された公開証明書をインポートする。
関連する構成ファイルをすべて変更する。
他の補助アクションを実行する (組み込み Apache Tomcat で HTTPS コネクターや外部の SSL/TLS 構成ファイルを使用できるようにする など)。
重要
Denodo Platform サーバーの起動に使用するのと同じユーザーアカウントでこのスクリプトを実行します。
このことが必要なのは、 <DENODO_HOME>/resources/apache-tomcat/conf/jmxssl.properties
ファイルの読み取りおよび書き込みのアクセス権を持つことができるのは Denodo Platform を起動したユーザーアカウントのみであり、なおかつ、このファイルのアクセス権を変更する denodo_tls_configurator スクリプトを実行するユーザーアカウントのみが、読み取りと書き込みを実行できるからです。
SSL/TLS 構成スクリプトを使用する場合も、構成手順をいくつか実行する必要がある場合があることに注意してください。
SSL/TLS 証明書の取得とインストール : スクリプトで PKCS12 キーストアと CER 証明書を使用 する場合、以下のサブセクションを確認しなければならないことがあります。
実行するアクション (SSL/TLS の有効化または無効化) と必要な入力ファイルに応じて、以下に示す 4 つの操作モードがあります。
各モードの詳細について説明する前に、すべてまたはほとんどの操作モードで使用されるいくつかの共通構成パラメータについて説明します。
--denodo-home <path>
: ターゲットの Denodo Platform または Denodo Solution Manager インストールのパス。--components component_1,...,component_n
: 構成する Denodo コンポーネント (license-manager
、scheduler
、scheduler-index
、solution-manager
、tomcat
、vdp
、およびvdp-admin
から選択) のコンマ区切りリスト。ターゲットインストール (Denodo Platform または Denodo Solution Manager) の種類によっては、すべてのコンポーネントが使用できるわけではないことに注意してください。--components
が設定されていない場合、使用可能なすべてのコンポーネントが構成されます (このアプローチをお勧めします)。--keystore <path>
: 選択された Denodo コンポーネントが使用する PKCS12 キーストアのパス。存在しない場合は生成されます (PKCS12 キーストアと CER 形式の公開証明書によって SSL/TLS を有効化 する場合を除く)。注釈
クライアントアプリケーションのみを構成する場合、このパラメータは必要ありません。この状況は以下の場合に発生します。
--components
オプションの値が設定されていて、その値にvdp-admin
とwgt
の一方または両方のみが含まれる場合。--components
オプションの値が設定 されておらず 、ターゲットインストールに Virtual DataPort Administration Tool と Wrapper Generator Tool の一方または両方のみが含まれる場合。
--truststore <path>
: 選択された Denodo コンポーネントが使用するトラストストアのパス。このトラストストアは存在している必要があります。スクリプトは、必要なすべての証明書をここにインポートします。たとえば、<DENODO_HOME>/jre/lib/security/cacerts
を使用できます。--credentials-file <path>
: スクリプトの構成で必要なkeystore.password
、truststore.password
、またはpkcs12bundle.password
、あるいはこれらの任意の組み合わせの暗号化された値を保持するプロパティファイルのパス。暗号化された値は、<DENODO_HOME>/bin/encrypt_password.bat/.sh
スクリプトによって生成する必要があります。資格情報ファイルのサンプル¶keystore.password=<encrypted_value> truststore.password=<encrypted_value> pkcs12bundle.password=<encrypted_value>
--license-manager-uses-tls={true|false}
: このパラメータは、Denodo Platform のインストールでのみ有効であり、ターゲットが Denodo Solution Manager インストールの場合は無視されます。ターゲットの Denodo Platform インストールが SSL/TLS が有効な License Manager に接続されている場合はtrue
に、それ以外の場合はfalse
に設定する必要があります。詳細については、「 License Manager への接続の構成 」を参照してください。--override
: このパラメータは、キーストアとトラストストアの前の構成を上書きし、既存のファイルがスクリプトによって変更された場合のみ、それらのバックアップを作成します。たとえば、トラストストアのバックアップは<DENODO_HOME>/jre/lib/security/cacerts.back.20230815123456789
のようになります。
また、 <DENODO_HOME>/bin/denodo_tls_configurator.bat/.sh
をパラメータなしで実行すると、スクリプトのヘルプを表示できます。
PKCS12 キーストアと CER 形式の公開証明書による SSL/TLS の有効化¶
このモードは、以前の Denodo Platform 7.0/Denodo Solution Manager 7.0 インストールのキーストアと証明書を再利用する場合に最適です。この操作モードで必要な PKCS12 ファイルと CER ファイルを取得する方法については、「 SSL/TLS 証明書の取得とインストール 」も参照してください (自己署名 または 証明機関への要求の送信のいずれかの方法)。
denodo_tls_configurator
--keystore <path>
--cert-cer-file <path>
[ --cert-chain-cer-file <path> ]
--truststore <path>
[ --override ]
[ --license-manager-uses-tls={true|false} ]
[ --components component_1,...,component_n ]
--credentials-file <path>
--denodo-home <path>
--keystore <path>
: この操作モードでは、 構成するキーストアが存在していて 、 PKCS12 形式である必要があります。注釈
Virtual DataPort Administration Tool と Wrapper Generator Tool の両方または一方のみを構成する場合は、このパラメータは不要です。
--cert-cer-file <path>
: 選択されているトラストストアにインポートされる証明書が含まれている CER ファイルのパス。この X.509 証明書を、指定されている PKCS12 キーストアにある秘密キーに関連付ける必要があります。--cert-chain-cer-file <path>
: オプションの CER チェーンファイルのパス。選択されているトラストストアに証明書のチェーンをインポートする必要があります。
PKCS #12 バンドルによる SSL/TLS の有効化¶
ターゲットの Denodo Platform/Denodo Solution Manager インストールで SSL/TLS を構成する場合の入力として、PKCS #12 バンドルを使用できます。
PKCS #12 ファイルには複数の暗号オブジェクトが含まれている可能性があります。Denodo Platform/Denodo Solution Manager インストールの構成に使用する PKCS #12 ファイルには、秘密キーと、その X.509 証明書および信頼の連鎖の全メンバー (必要な場合) が含まれている必要があります。
denodo_tls_configurator
--pkcs12-file <path>
--keystore <path>
--truststore <path>
[ --override ]
[ --license-manager-uses-tls={true|false} ]
[ --components component_1,...,component_n ]
--credentials-file <path>
--denodo-home <path>
--pkcs12-file <path>
: PKCS #12 バンドルファイル (拡張子が .p12 または .pfx) のパス。このファイルの内容は、選択されているパスにあるキーストアを初期化し、選択されているトラストストアに必要な公開証明書をインポートするために使用されます。指定されている PKCS #12 バンドルには、必要なすべての秘密キーと公開キーが含まれている必要があります。このファイルのパスワードは、構成されている資格情報ファイルのpkcs12bundle.password
プロパティの値として指定されている必要があります。
PEM エンコードされたキーと証明書による SSL/TLS の有効化¶
ターゲットの Denodo Platform/Denodo Solution Manager インストールで SSL/TLS を構成する場合の入力として、PEM エンコードされたファイルを使用できます。
denodo_tls_configurator
--keystore <path>
--key-pem-file <path>
--cert-pem-file <path>
[ --cert-chain-pem-files <path_1>,...,<path_n> ]
--truststore <path>
[ --override ]
[ --license-manager-uses-tls={true|false} ]
[ --components component_1,...,component_n ]
--credentials-file <path>
--denodo-home <path>
--key-pem-file <path>
: 選択されているキーストアパスのキーストアを初期化するために使用される、PEM でエンコードされた、 暗号化されていない RSA 秘密キーを含むファイルへのパス。PEM エンコードされた、暗号化されていない秘密キー¶-----BEGIN RSA PRIVATE KEY----- MIIE1111AKCAQEAzkMYu2hUwJabbbQRVkxnZJ0dddd8SWUJVJxkj+iGJWwXZU7Z [...] k9mAGNOsS3kgoBnlvERsbpFggggIQ+cWKWW7777O03srpd2vF09876== -----END RSA PRIVATE KEY-----
--cert-pem-file <path>
: 選択されているトラストストアにインポートされる、PEM でエンコードされた、パブリック (公開) X.509 証明書を含むファイルへのパス。この証明書を、指定されている秘密キーに関連付ける必要があります。PEM エンコードされた公開証明書¶-----BEGIN CERTIFICATE----- MIIFUjCCA1234567AgICEAEwDQY1234567cNAQELBQAwaj55555GA1UEBhhhhhhh [...] aaaFYgEPIE3bbbNV5114XccccyX4Rw== -----END CERTIFICATE-----
--cert-chain-pem-files <path_1>,...,<path_n>
: 選択されているトラストストアにインポートされる公開証明書チェーンを持つ PEM エンコードファイルへのパスのオプションのリスト。これらのファイルには、チェーンの個々の証明書、または証明書を連結したものを含めることができます。