ページの先頭行へ戻る
Symfoware Analytics ServerV12.2.0 利用ガイド
FUJITSU Software

7.2.3 データ連携時の通信の暗号化

データ連携時の通信の暗号化について説明します。

7.2.3.1 Interstage Information Integratorを利用する場合

Interstage Information Integratorを利用したデータ連携機能を利用する場合に、自サーバと相手サーバ間のデータを暗号化することで、ネットワーク上の盗聴による脅威から通信データを保護する機能です。

参照

Interstage Information Integratorを利用したデータ連携機能での暗号化の詳細は、“Interstage Information Integrator システム設計ガイド”の“SSL通信を利用する”を参照してください。

7.2.3.2 fluentdを利用する場合

fluentdを利用したデータ連携を利用して、データ連携エージェントおよびデータ連携サーバ(fluentd)間の通信データを暗号化する場合、以下のセットアップを行います。

通信データの暗号化を行うと、通信内容を保護することに加えて、中間者攻撃(たとえば、データのなりすましによりデータおよびパスワードを傍受するなど)を防止できます。

表7.1 セットアップ手順

順序

内容

1

証明書発行の手続き

2

サーバ証明書ファイル、サーバ秘密鍵ファイルの配置

3

CA証明書ファイルのデータ連携エージェントへの配布

4

データ連携サーバ機能のセットアップ

5

データ連携エージェント機能のセットアップ

通信データの暗号化環境の構成は、以下のとおりです。

図7.2 通信データの暗号化環境の構成

7.2.3.2.1 証明書発行の手続き

サーバ認証を行う場合は、認証局(CA)に証明書を発行してもらう手続きが必要です。Symfoware Analytics Serverでは、X.509の規格のPEM形式のファイルをサポートしています。

認証局からDER形式で発行された場合は、opensslコマンドなどのツールを使用してDER形式をPEM形式に変換してください。

以下に手順の概要を示します。詳細は、証明書ファイルの取得先である、公的または独自の認証局(CA)より公開されている手順を参照してください。

  1. サーバ秘密鍵ファイルの作成

  2. サーバ秘密鍵ファイルからCSR(サーバ証明書を取得するための署名要求)を作成

  3. 認証局(CA)へサーバ証明書を申請

  4. 認証局(CA)から、サーバ証明書ファイルおよびCA証明書ファイルを取得

  5. サーバ証明書ファイルおよびCA証明書ファイルを保管

注意

紛失や破損した場合は、再発行が必要になります。

上記の手順により、以下のファイルが準備できます。

7.2.3.2.2 サーバ証明書ファイルおよびサーバ秘密鍵ファイルの配置

DWHサーバのローカルディスクにディレクトリを作成し、サーバ証明書ファイルおよびサーバ秘密鍵ファイルを配置します。

サーバ証明書ファイルおよびサーバ秘密鍵ファイルのアクセス権は、OSの機能を利用してデータ連携サーバ(fluentd)ユーザーにのみ読み込み権限を設定してください。

また、サーバ証明書ファイルおよびサーバ秘密鍵ファイルは破損に備えて、バックアップをして厳重に管理してください。

7.2.3.2.3 データ連携エージェントへCA証明書ファイルの配布

データ連携エージェントのローカルディスクにディレクトリを作成して、配布されたCA証明書ファイルを配置します。

CA証明書ファイルを誤って削除などしないように、OSの機能を利用して読み込み権限を設定してください。

7.2.3.2.4 データ連携サーバのセットアップ

データ連携サーバでin_secure_forward入力プラグインを使用するために、fluentd動作定義ファイルの編集をします。

参照

設定方法の詳細は、“3.9.2.2.2 fluentd動作定義ファイルの設定内容”を参照してください。

7.2.3.2.5 データ連携エージェントのセットアップ

データ連携エージェントで暗号化環境のセットアップを以下の手順で行います。

  1. CA証明書の読み込み設定

    “証明書発行の手続き”で準備したCA証明書をデータ連携エージェントで読み込めるように、以下を実施します。

    “fluentdシステム設定ファイル(/etc/sysconfig/symas-fluentd-exec-user-group)”をテキストエディタで開いて、3行目に以下を追記します。

    export SSL_CERT_FILE=[CA証明書ファイルのパス]
  2. fluentd動作定義ファイルの編集

    データ連携エージェントでout_secure_forward出力プラグインを使用するために、fluentd動作定義ファイルを編集します。

    参照

    設定方法の詳細は、“3.9.2.2.2 fluentd動作定義ファイルの設定内容”を参照してください。