OpManagerのURL監視にて、httpsのWebサイトの監視に失敗する
作成日:2014年12月22日 | 更新日:2020年1月17日
【現象/要望】
OpManagerのURL監視にて、httpsのWebサーバへの監視に失敗する。
【原因】
OpManager(Java6)では、公開鍵がRSA2048bitの鍵長の暗号化のhttpsのURL監視には対応しておりません。1024bit以下の場合で本事象が発生している場合には【解決方法】を確認します。
OpManagerが使用するJava6は、JavaからWebサーバへの接続でデフォルトでSSLv2のプロトコルを用いており、このプロトコルでClient helloのパケットを送りhttps通信を行います。
そのためSSLv2 Client Helloのプロトコルの接続が有効でないWebサーバへの接続はhandshakeに失敗しWebに接続できず、OpManagerによるURL監視に失敗します。
OpManagerからTLSv1での接続(Client Hello)を有効にするためには、以下の手順でパッチを適用しSSLv2による Client Helloの接続を無効にしTLSv1の接続を有効にします。
【解決方法】
手順)
以下手順3,手順4は、該当するOpManagerのインストールサーバのOSに応じて実施ください。
- 添付ファイルをダウンロード解凍し、得られたHTTPClientフォルダをOpManager\classes配下に配置
- OpManager\tomcat\conf\backup\ssl_server.xmlファイルを編集 対象:72行目
変更前)
sslProtocol="TLS"/>
変更後)
sslProtocol="TLSv1"/> - OpManagerのインストールサーバがWindows OSの場合、OpManager\conf\wrapper.confにて以下のパラメータを追加設定 対象137行目
変更前)
wrapper.java.additional.13=-Djava.net.preferIPv4Stack=true
wrapper.filter.trigger.1=OpMCrash-OOM
変更後) wrapper.java.additional.13=-Djava.net.preferIPv4Stack=true wrapper.java.additional.14=-Dhttps.protocols=TLSv1
wrapper.filter.trigger.1=OpMCrash-OOM - OpManagerのインストールサーバがLinux OSの場合、OpManager\bin\StartOpManagerServer.shファイルを以下のように-Dhttps.protocols=TLSv1を追加編集し保存
対象行:85行目
変更前) -Djava.rmi.server.codebase="$CODEBASE_LIST" -XX:+HeapDumpOnOutOfMemoryError
変更後) -Djava.rmi.server.codebase="$CODEBASE_LIST" -Dhttps.protocols=TLSv1 -XX:+HeapDumpOnOutOfMemoryError
3.OpManager\bin\StartOpManagerServer.shを実行しOpManagerを起動 - OpManagerサービスを再起動
※ビルド番号12.3.xではJava7を使用していますが、Java7は鍵長RSA2048には正式に対応しておらずサポート対象外となります。RSA2048bitを用いたhttpsのURL監視については、動作の正確性の保証や検証はいたしかねます。
※ビルド番号12.4.xでは、JREがバージョンアップされたため、鍵長RSA2048に対応しております。
【対応ビルド】 11400, 11500
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★