HTTPS 証明書の確認
2024年4月11日
ID 234888
CyberTrace インスタンスとの HTTPS 接続を確立する場合、Balancer は、CyberTrace から受信した証明書が、設定情報ファイル kl_balancer.conf
の CertDirPath
パラメータに指定されているディレクトリ内にある参照証明書と一致しているかどうかを確認します。
証明書の確認には、唯一 https を扱う Rest API を使用する必要があります。このセクションでは検知については説明しません。
CyberTrace インスタンスの参照証明書がこのディレクトリ内にない場合、またはこのディレクトリが存在しない場合、Balancer は以下を実行します:
- CyberTrace から受信した証明書を
%CERT_PATH%/%INSTANCE%_%CT_PORT%.pem
ファイルに保存します。この場合:CERT_PATH
は、設定情報ファイルkl_balancer.conf
のCertDirPath
パラメータに指定されているディレクトリです。INSTANCE
は、特定の CyberTrace インスタンスの[Instances
]→[Instance
]要素に指定されているホスト名/IP 値です。CT_PORT
は、特定の CyberTrace インスタンスの[Instances
]→[Instance
]要素のmatching_port
属性に指定されているポート値です。
- 受信した証明書を使用した HTTPS 接続の確立を続行します。
CyberTrace 証明書が参照証明書と一致しない場合、Balancer は以下を実行します:
- CyberTrace インスタンスとの HTTPS 接続の確立を停止します。
- ステータスコード 500 とともに以下のエラー情報を返します:
- CyberTrace インスタンスの IP/ホスト名。
- CyberTrace インスタンスのポート番号。
- 問題の説明:サーバーの証明書が想定されるものと一致しないため、CyberTrace インスタンスとの HTTPS 接続が確立されませんでした。
高可用性デプロイメントで使用されている CyberTrace インスタンスのホスト名/IP またはポートが変更された場合、インスタンスの参照証明書が再度保存されます。古い証明書は自動的には削除されません。使用されていない証明書の削除は、CyberTrace 管理者が責任を負います。
CyberTrace 証明書の変更
CyberTrace 側で証明書を変更するには、Balancer 側で証明書を手動で変更する必要があります。
CyberTrace の証明書を変更するには:
- CyberTrace インスタンスサービスを停止します。
sc stop cybertrace
(Windows の場合)systemctl stop cybertrace.service
(Linux の場合) - CyberTrace インスタンスの証明書を変更します。
- CyberTrace インスタンスサービスを開始します。
sc start cybertrace
(Windows の場合)systemctl start cybertrace.service
(Linux の場合) - Balancer サービスを停止します。
sc stop KasperskyBalancerService
(Windows の場合)systemctl stop cybertrace_balancer.service
(Linux の場合) - Balancer 側で、CyberTrace インスタンスの証明書を変更します。
CyberTrace 側で、ファイル
httpsrv\kl_feed_service_cert.pem
を Balancer 側のディレクトリ%CERT_PATH%
にコピーして、ファイルの名前を%INSTANCE%_%CT_PORT%.pem
に変更します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService
(Windows の場合)systemctl start cybertrace_balancer.service
(Linux の場合)
証明書の変更の詳細は、セクション「Kaspersky CyberTrace Web の SSL 証明書の生成」を参照してください。
証明書の設定の確認
選択した CyberTrace インスタンスの証明書の設定を確認するには:
- Balancer サービスを停止します。
sc stop KasperskyBalancerService
(Windows の場合)systemctl stop cybertrace_balancer.service
(Linux の場合) - すべての CyberTrace インスタンスについて(選択したインスタンスを除く)、設定情報ファイル
kl_balancer.conf
のInstances
セクションでenabled = "false"
を指定します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService
(Windows の場合)systemctl start cybertrace_balancer.service
(Linux の場合) - AllowedRequests セクションで説明されているリクエスト(
GET/api/v.1.1/suppliers
など)を(api_port
で指定されている) Balancer ポートに送信します。 - ステータスが 200 であるレスポンス、および使用したソースのリストが受信されていることを確認します。
- Balancer サービスを停止します。
sc stop KasperskyBalancerService
(Windows の場合)systemctl stop cybertrace_balancer.service
(Linux の場合) - ステップ 2 のすべての CyberTrace インスタンスについて、設定情報ファイル
kl_balancer.conf
のInstances
セクションでenabled = "true"
を指定します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService
(Windows の場合)systemctl start cybertrace_balancer.service
(Linux の場合)