Denodo SSL/TLS 構成スクリプト

SSL/TLS 構成スクリプトにより、Denodo Platform と Solution Manager の Web コンテナー (Apache Tomcat) を含むすべてのモジュールで SSL 有効化のプロセスを自動化できます。

このスクリプトは、 <DENODO_HOME>/bin/denodo_tls_configurator にあり、以下のアクションを実行します。

重要

Denodo Platform サーバーの起動に使用するのと同じユーザーアカウントでこのスクリプトを実行します。

このことが必要なのは、 <DENODO_HOME>/resources/apache-tomcat/conf/jmxssl.properties ファイルの読み取りおよび書き込みのアクセス権を持つことができるのは Denodo Platform を起動したユーザーアカウントのみであり、なおかつ、このファイルのアクセス権を変更する denodo_tls_configurator スクリプトを実行するユーザーアカウントのみが、読み取りと書き込みを実行できるからです。

SSL/TLS 構成スクリプトを使用する場合も、構成手順をいくつか実行する必要がある場合があることに注意してください。

実行するアクション (SSL/TLS の有効化または無効化) と必要な入力ファイルに応じて、以下に示す 4 つの操作モードがあります。

  1. JKS キーストアと CER 形式の公開証明書による SSL/TLS の有効化

  2. PKCS #12 バンドルによる SSL/TLS の有効化

  3. PEM エンコードされたキーと証明書による SSL/TLS の有効化

  4. SSL/TLS の無効化

各モードの詳細について説明する前に、すべてまたはほとんどの操作モードで使用されるいくつかの共通構成パラメーターについて説明します。

  • --denodo-home <path> : ターゲットの Denodo Platform または Denodo Solution Manager インストールのパス。

  • --components component_1,...,component_n : 構成する Denodo コンポーネント ( browserpoollicense-managerschedulerscheduler-indexsolution-managertomcatvdpvdp-adminverification 、および wgt から選択) のコンマ区切りリスト。ターゲットインストール (Denodo Platform または Denodo Solution Manager) の種類によっては、すべてのコンポーネントが使用できるわけではないことに注意してください。 --components が設定されていない場合、使用可能なすべてのコンポーネントが構成されます (このアプローチをお勧めします)。

  • --keystore <path> : 選択された Denodo コンポーネントが使用する JKS キーストアのパス。存在しない場合は生成されます (JKS キーストアと CER 形式の公開証明書によって SSL/TLS を有効化 する場合を除く)。

    注釈

    クライアントアプリケーションのみを構成する場合、このパラメーターは必要ありません。この状況は以下の場合に発生します。

    • --components オプションの値が設定されていて、その値に vdp-adminwgt の一方または両方のみが含まれる場合。

    • --components オプションの値が設定 されておらず 、ターゲットインストールに Virtual DataPort Administration Tool と Wrapper Generator Tool の一方または両方のみが含まれる場合。

  • --truststore <path> : 選択された Denodo コンポーネントが使用するトラストストアのパス。このトラストストアは存在している必要があります。スクリプトは、必要なすべての証明書をここにインポートします。たとえば、 <DENODO_HOME>/jre/lib/security/cacerts を使用できます。

  • --credentials-file <path> : スクリプトの構成で必要な keystore.passwordtruststore.password 、または pkcs12bundle.password 、あるいはこれらの任意の組み合わせの暗号化された値を保持するプロパティファイルのパス。暗号化された値は、 <DENODO_HOME>/bin/encrypt_password.bat/.sh スクリプトによって生成する必要があります。

  • --license-manager-uses-tls={true|false} : このパラメーターは、Denodo Platform のインストールでのみ有効であり、ターゲットが Denodo Solution Manager インストールの場合は無視されます。ターゲットの Denodo Platform インストールが SSL/TLS が有効な License Manager に接続されている場合は true に、それ以外の場合は false に設定する必要があります。詳細については、「 License Manager への接続の構成 」を参照してください。

また、 <DENODO_HOME>/bin/denodo_tls_configurator.bat/.sh をパラメーターなしで実行すると、スクリプトのヘルプを表示できます。

JKS キーストアと CER 形式の公開証明書による SSL/TLS の有効化

このモードは、以前の Denodo Platform 7.0/Denodo Solution Manager 7.0 インストールのキーストアと証明書を再利用する場合に最適です。この操作モードで必要な JKS ファイルと CER ファイルを取得する方法については、「 SSL/TLS 証明書の取得とインストール 」も参照してください (自己署名 または 証明機関への要求の送信のいずれかの方法)。

重要

JKS キーストアを使用する必要があります。PKCS12 キーストアはサポートされていません。

JKS キーストアと CER 形式の公開証明書を使用して SSL/TLS を有効化する構文
denodo_tls_configurator
    --keystore <path>
    --cert-cer-file <path>
    [ --cert-chain-cer-file <path> ]
    --truststore <path>
    [ --license-manager-uses-tls={true|false} ]
    [ --components component_1,...,component_n ]
    --credentials-file <path>
    --denodo-home <path>
  • --keystore <path> : この操作モードでは、 構成するキーストアが存在していてJKS 形式である必要があります。

    注釈

    Virtual DataPort Administration Tool と Wrapper Generator Tool の両方または一方のみを構成する場合は、このパラメーターは不要です。

  • --cert-cer-file <path> : 選択されているトラストストアにインポートされる証明書が含まれている CER ファイルのパス。この X.509 証明書を、指定されている JKS キーストアにある秘密キーに関連付ける必要があります。

  • --cert-chain-cer-file <path> : オプションの CER チェーンファイルのパス。選択されているトラストストアに証明書のチェーンをインポートする必要があります。

PKCS #12 バンドルによる SSL/TLS の有効化

ターゲットの Denodo Platform/Denodo Solution Manager インストールで SSL/TLS を構成する場合の入力として、PKCS #12 バンドルを使用できます。

PKCS #12 ファイルには複数の暗号オブジェクトが含まれている可能性があります。Denodo Platform/Denodo Solution Manager インストールの構成に使用する PKCS #12 ファイルには、秘密キーと、その X.509 証明書および信頼の連鎖の全メンバー (必要な場合) が含まれている必要があります。

PKCS #12 バンドルを使用して SSL/TLS を有効化する構文
denodo_tls_configurator
    --pkcs12-file <path>
    --keystore <path>
    --truststore <path>
    [ --license-manager-uses-tls={true|false} ]
    [ --components component_1,...,component_n ]
    --credentials-file <path>
    --denodo-home <path>
  • --pkcs12-file <path> : PKCS #12 バンドルファイル (拡張子が .p12 または .pfx) のパス。このファイルの内容は、選択されているパスにあるキーストアを初期化し、選択されているトラストストアに必要な公開証明書をインポートするために使用されます。指定されている PKCS #12 バンドルには、必要なすべての秘密キーと公開キーが含まれている必要があります。このファイルのパスワードは、構成されている資格情報ファイルの pkcs12bundle.password プロパティの値として指定されている必要があります。

PEM エンコードされたキーと証明書による SSL/TLS の有効化

ターゲットの Denodo Platform/Denodo Solution Manager インストールで SSL/TLS を構成する場合の入力として、PEM エンコードされたファイルを使用できます。

PEM エンコードされたキーと証明書を使用して SSL/TLS を有効化する構文
denodo_tls_configurator
    --keystore <path>
    --key-pem-file <path>
    --cert-pem-file <path>
    [ --cert-chain-pem-files <path_1>,...,<path_n> ]
    --truststore <path>
    [ --license-manager-uses-tls={true|false} ]
    [ --components component_1,...,component_n ]
    --credentials-file <path>
    --denodo-home <path>
  • --key-pem-file <path>: 選択されているキーストアパスのキーストアを初期化するために使用される、PEM でエンコードされた、 暗号化されていない 秘密キーを含むファイルへのパス。

    PEM エンコードされた、暗号化されていない秘密キー
    -----BEGIN RSA PRIVATE KEY-----
    MIIE1111AKCAQEAzkMYu2hUwJabbbQRVkxnZJ0dddd8SWUJVJxkj+iGJWwXZU7Z
    [...]
    k9mAGNOsS3kgoBnlvERsbpFggggIQ+cWKWW7777O03srpd2vF09876==
    -----END RSA PRIVATE KEY-----
    
  • --cert-pem-file <path>: 選択されているトラストストアにインポートされる、PEM でエンコードされた、パブリック (公開) X.509 証明書を含むファイルへのパス。この証明書を、指定されている秘密キーに関連付ける必要があります。

    PEM エンコードされた公開証明書
    -----BEGIN CERTIFICATE-----
    MIIFUjCCA1234567AgICEAEwDQY1234567cNAQELBQAwaj55555GA1UEBhhhhhhh
    [...]
    aaaFYgEPIE3bbbNV5114XccccyX4Rw==
    -----END CERTIFICATE-----
    
  • --cert-chain-pem-files <path_1>,...,<path_n> : 選択されているトラストストアにインポートされる公開証明書チェーンを持つ PEM エンコードファイルへのパスのオプションのリスト。これらのファイルには、チェーンの個々の証明書、または証明書を連結したものを含めることができます。

SSL/TLS の無効化

次の構文を使用して、ターゲットの Denodo Platform インストールまたは Denodo Solution Manager インストールで SSL/TLS を無効化できます。

SSL/TLS を無効化する構文
denodo_tls_configurator
    [ --license-manager-uses-tls={true|false} ]
    [ --components component_1,...,component_n ]
    --disable-tls
    --denodo-home <path>