HTTPS 証明書の確認
2024年8月22日
ID 234888
Kaspersky CyberTrace インスタンスとの HTTPS 接続を確立する場合、Balancer は、Kaspersky CyberTrace から受信した証明書が、設定情報ファイル kl_balancer.conf の CertDirPath パラメータに指定されているディレクトリ内にある参照証明書と一致しているかどうかを確認します。
証明書の確認には、唯一 https を扱う Rest API を使用する必要があります。このセクションでは検知については説明しません。
Kaspersky CyberTrace インスタンスの参照証明書がこのディレクトリ内にない場合、またはこのディレクトリが存在しない場合、Balancer は以下を実行します:
- Kaspersky CyberTrace から受信した証明書をファイル
%CERT_PATH%/%INSTANCE%_%CT_PORT%.pemに保存します。この場合:CERT_PATHは、設定情報ファイルkl_balancer.confのCertDirPathパラメータに指定されているディレクトリです。INSTANCEは、特定の Kaspersky CyberTrace インスタンスの[Instances]→[Instance]要素に指定されているホスト名/IP 値です。CT_PORTは、特定の Kaspersky CyberTrace インスタンスの[Instances]→[Instance]要素のmatching_port属性に指定されているポート値です。
- 受信した証明書を使用した HTTPS 接続の確立を続行します。
Kaspersky CyberTrace 証明書が参照証明書と一致しない場合、Balancer は以下を実行します:
- Kaspersky CyberTrace インスタンスとの HTTPS 接続の確立を停止します。
- ステータスコード 500 とともに以下のエラー情報を返します:
- Kaspersky CyberTrace インスタンスの IP/ホスト名。
- Kaspersky CyberTrace インスタンスのポート番号。
- 問題の説明:サーバーの証明書が想定されるものと一致しないため、Kaspersky CyberTrace インスタンスとの HTTPS 接続が確立されませんでした。
高可用性デプロイメントで使用されている Kaspersky CyberTrace インスタンスのホスト名/IP またはポートが変更された場合、インスタンスの参照証明書が再度保存されます。古い証明書は自動的には削除されません。使用されていない証明書の削除は、Kaspersky CyberTrace 管理者が責任を負います。
Kaspersky CyberTrace 証明書の変更
Kaspersky CyberTrace 側で証明書を変更するには、Balancer 側で証明書を手動で変更する必要があります。
Kaspersky CyberTrace の証明書を変更するには:
- Kaspersky CyberTrace インスタンスサービスを停止します。
sc stop cybertrace(Windows の場合)systemctl stop cybertrace.service(Linux の場合) - Kaspersky CyberTrace インスタンスの証明書を変更します。
- Kaspersky CyberTrace インスタンスサービスを開始します。
sc start cybertrace(Windows の場合)systemctl start cybertrace.service(Linux の場合) - Balancer サービスを停止します。
sc stop KasperskyBalancerService(Windows の場合)systemctl stop cybertrace_balancer.service(Linux の場合) - Balancer 側で、Kaspersky CyberTrace インスタンスの証明書を変更します。
Kaspersky CyberTrace 側で、ファイル
httpsrv\kl_feed_service_cert.pemを Balancer 側のディレクトリ%CERT_PATH%にコピーして、ファイルの名前を%INSTANCE%_%CT_PORT%.pemに変更します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService(Windows の場合)systemctl start cybertrace_balancer.service(Linux の場合)
証明書の変更の詳細は、セクション「Kaspersky CyberTrace Web の SSL 証明書の生成」を参照してください。
証明書の設定の確認
選択した Kaspersky CyberTrace インスタンスの証明書の設定を確認するには:
- Balancer サービスを停止します。
sc stop KasperskyBalancerService(Windows の場合)systemctl stop cybertrace_balancer.service(Linux の場合) - すべての Kaspersky CyberTrace インスタンスについて(選択したインスタンスを除く)、設定情報ファイル
kl_balancer.confのInstancesセクションでenabled = "false"を指定します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService(Windows の場合)systemctl start cybertrace_balancer.service(Linux の場合) - AllowedRequests セクションで説明されているリクエスト(
GET/api/v.1.1/suppliersなど)を(api_portで指定されている) Balancer ポートに送信します。 - ステータスが 200 であるレスポンス、および使用したソースのリストが受信されていることを確認します。
- Balancer サービスを停止します。
sc stop KasperskyBalancerService(Windows の場合)systemctl stop cybertrace_balancer.service(Linux の場合) - ステップ 2 のすべての Kaspersky CyberTrace インスタンスについて、設定情報ファイル
kl_balancer.confのInstancesセクションでenabled = "true"を指定します。 - Balancer サービスを開始します。
sc start KasperskyBalancerService(Windows の場合)systemctl start cybertrace_balancer.service(Linux の場合)