データ連携時の通信の暗号化について説明します。

Interstage Information Integratorを利用したデータ連携機能を利用する場合に、自サーバと相手サーバ間のデータを暗号化することで、ネットワーク上の盗聴による脅威から通信データを保護する機能です。

fluentdを利用したデータ連携を利用して、データ連携エージェントおよびデータ連携サーバ(fluentd)間の通信データを暗号化する場合、以下のセットアップを行います。

通信データの暗号化を行うと、通信内容を保護することに加えて、中間者攻撃(たとえば、データのなりすましによりデータおよびパスワードを傍受するなど)を防止できます。

通信データの暗号化環境の構成は、以下のとおりです。

図7.2 通信データの暗号化環境の構成

サーバ認証を行う場合は、認証局(CA)に証明書を発行してもらう手続きが必要です。Symfoware Analytics Serverでは、X.509の規格のPEM形式のファイルをサポートしています。

認証局からDER形式で発行された場合は、opensslコマンドなどのツールを使用してDER形式をPEM形式に変換してください。

以下に手順の概要を示します。詳細は、証明書ファイルの取得先である、公的または独自の認証局(CA)より公開されている手順を参照してください。

1. サーバ秘密鍵ファイルの作成

2. サーバ秘密鍵ファイルからCSR(サーバ証明書を取得するための署名要求)を作成

3. 認証局(CA)へサーバ証明書を申請

4. 認証局(CA)から、サーバ証明書ファイルおよびCA証明書ファイルを取得

5. サーバ証明書ファイルおよびCA証明書ファイルを保管

上記の手順により、以下のファイルが準備できます。

• サーバ秘密鍵ファイル

• サーバ証明書ファイル

• CA証明書ファイル

DWHサーバのローカルディスクにディレクトリを作成し、サーバ証明書ファイルおよびサーバ秘密鍵ファイルを配置します。

サーバ証明書ファイルおよびサーバ秘密鍵ファイルのアクセス権は、OSの機能を利用してデータ連携サーバ(fluentd)ユーザーにのみ読み込み権限を設定してください。

また、サーバ証明書ファイルおよびサーバ秘密鍵ファイルは破損に備えて、バックアップをして厳重に管理してください。

データ連携エージェントのローカルディスクにディレクトリを作成して、配布されたCA証明書ファイルを配置します。

CA証明書ファイルを誤って削除などしないように、OSの機能を利用して読み込み権限を設定してください。

データ連携サーバでin_secure_forward入力プラグインを使用するために、fluentd動作定義ファイルの編集をします。

データ連携エージェントで暗号化環境のセットアップを以下の手順で行います。

1. CA証明書の読み込み設定

   “証明書発行の手続き”で準備したCA証明書をデータ連携エージェントで読み込めるように、以下を実施します。

   “fluentdシステム設定ファイル（/etc/sysconfig/symas-fluentd-exec-user-group）”をテキストエディタで開いて、3行目に以下を追記します。

   export SSL_CERT_FILE=[CA証明書ファイルのパス]

2. fluentd動作定義ファイルの編集

   データ連携エージェントでout_secure_forward出力プラグインを使用するために、fluentd動作定義ファイルを編集します。

   参照

   設定方法の詳細は、“3.9.2.2.2 fluentd動作定義ファイルの設定内容”を参照してください。