Denodo Platform での SSL/TLS の有効化¶
このセクションでは、Denodo Platform サーバー、その管理ツール、およびそのクライアントの間の接続を SSL (TLS) で保護する方法を説明します。
注釈
SSL の有効化は必須ではありませんが、今すぐ実行して、Denodo サーバーとそのクライアントアプリケーションの間の通信を暗号化することをお勧めします。
たとえば、自分のコンピュータに Denodo Express をインストールしていて、自分だけが Denodo を使用している場合は、それを省略しても問題ありません。
このマニュアルでは SSL と呼んでいますが、実際には SSL の後継の暗号化プロトコルである TLS (Transport Layer Security) を有効化します。
SSL を使用するには、証明書リポジトリを構成する必要があります。証明書リポジトリには、以下の 2 種類があります。
キーストア
トラストストア
キーストア
着信 SSL 接続をリッスンするアプリケーションは、クライアントがサーバーにアクセスできるようにするために、公開キーと秘密キーを必要とします。Java では、これらのキーは キーストア と呼ばれるリポジトリに保存されます。
トラストストア
SSL 接続の初期化中に、サーバーはその SSL 証明書をクライアントに送信します。クライアントはここでその証明書を信頼するかどうかを決定する必要があります。これを行うために、クライアントは、証明書が信頼できる証明機関 (CA) によって署名されているかどうかを確認します。 トラストストア は、信頼できる証明機関の証明書のリポジトリです。
すべての Java インストールには、JRE がデフォルトで使用する トラストストア (<DENODO_HOME>/jre/lib/security/cacerts
ファイル) が付属しています。サーバーの証明書が信頼できる機関によって署名されていない (すなわち、Java の トラストストア に登録されていない) 場合、その機関の証明書を、Denodo Platform サーバーとそのツールの起動に使用される Java Runtime Environment (JRE) の cacerts
ファイル (<DENODO_HOME>/jre/lib/security/cacerts
) に保存する必要があります。
Denodo Platform に含まれている Java Runtime Environment (JRE) には、 証明書リポジトリ を管理する keytool と呼ばれるユーティリティが付属しています。
Denodo Platform には、SSL/TLS を有効化するために必要な構成の大部分を自動化できるスクリプトも付属しています。このツールの使用方法については、「 Denodo SSL/TLS 構成スクリプト 」を参照してください。
以下の各セクションで、Denodo Platform とその外部クライアントにわたって SSL/TLS を構成する方法について説明します。
Denodo Platform サーバーでサポートされる SSL/TLS のバージョン¶
Denodo サーバーで SSL (TLS) が有効化されている場合、使用する TLS のバージョンは、通信に関与するコンポーネントの構成によって異なります。分かりやすくするために、ここでは SSL と呼びますが、SSL は実際に使用されることはなく、TLS のみが使用されます。
Denodo サーバーとその他のコンポーネントの間でやり取りされるトラフィックの暗号化プロトコルについて、Denodo Platform では、TLSv1.3、TLSv1.2、TLSv1.1 をサポートします。