Log ExporterのTLS設定

Log Exporterでは、TLSプロトコルを使用した暗号化接続でログをエクスポートできます。

相互認証のみが許可されています。

相互認証の場合、Log Exporterでは次の証明書が必要です。

  • PEMフォーマットの認証局(CA)証明書ファイル(クライアント(Log Exporter側)と対象サーバ証明書の両方が署名したCA)

  • Log Exporterを備えたManagement Server/Log Server上のP12フォーマットのクライアント証明書

  • Log Exporterを備えたManagement Server/Log Serverが認証局(CA)に接続できる必要があります。

  • 上記の2つの証明書以外に、3つ目の証明書が対象サーバにインストールされている必要があります(サーバ要件に基づく)。

  • 自己署名証明書でも構いません。

必要な証明書がない場合は、以下のプロシージャをにして必要な証明書を作成します。

以下の方法ではopensslコマンドをLinuxサーバ上で使用しています(Check Point製品ではありません)。

PEMフォーマットのトラストCA証明書がない場合は次を実行します:

  1. root CAキーを生成し、他の人に渡さずに保持します:

    openssl genrsa -out RootCA.key 2048

  2. PEMフォーマットのroot CA証明書を生成します: 

    openssl req -x509 -new -nodes -key RootCA.key -days 2048 -out RootCA.pem

  3. 証明書の識別名(DN)情報を入力します。

    • 共通名(CN)は、証明書を使うホストのFQDN(Fully Qualified Domain Name)です。

    • 他のすべてのフィールドはオプションです。CAからSSL証明書を購入する場合は、これらのフィールドは必須である場合があります。

  1. クライアントキーを生成し、他の人に渡さずに保持します:

    openssl genrsa -out log_exporter.key 2048

  2. クライアント証明書の署名リクエストを生成します:

    openssl req -new -key log_exporter.key -out log_exporter.csr

  3. CAファイルを使って証明書に署名します:

    openssl x509 -req -in log_exporter.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out log_exporter.crt -days 2048 -sha256

  4. 証明書ファイルをP12フォーマットに変換します:

    openssl pkcs12 -inkey log_exporter.key -in log_exporter.crt -export -out log_exporter.p12

    - この変換で使われるチャレンジフレーズは"log_exporter" TLS設定で必要です。

必要な証明書を作成した後、Check Point Management Server/Log Serverのセキュリティパラメータをアップデートする必要があります。

  1. Management Server/Log Serverでコマンド ラインにアクセスします。

  2. エキスパートモードでログインします。

  3. マルチドメインサーバ/マルチドメインログサーバで、必要なドメインに切り替えます。

    mdsenv <IP Address or Name of Domain Management Server / Domain Log Server>

  4. 該当するLog Exporter設定のディレクトリに移動します。

    cd $EXPORTERDIR/targets/<Name of Log Exporter Configuration>

  5. 証明書の新しいディレクトリを作成します。

    mkdir -v certificates

    cd certificates

  6. これらの証明書ファイルを新しいディレクトリ"certificates"に移動させます:

    • RootCA.pem

    • log_exporter.p12

  7. 証明書ファイルに実行権限を与えます。

    chmod -v +r RootCA.pem

    chmod -v +r log_exporter.p12

  8. 該当するLog Exporter設定のディレクトリに移動します。

    cd $EXPORTERDIR/targets/<Name of Log Exporter Configuration>

  9. targetConfiguration.xmlファイルをアップデートします。

    1. ファイルを編集します。

      vi targetConfiguration.xml

    2. 新しい証明書ファイルへのフルパスと、P12証明書の作成に使うチャレンジフレーズを設定します。

    3. ファイルでの変更を保存して終了します。

  1. サーバキーを生成し、他の人に渡さずに保持します:

    openssl genrsa -out syslogServer.key 2048

  2. サーバ証明書の署名リクエストを生成します:

    openssl req -new -key syslogServer.key -out syslogServer.csr

  3. CAファイルを使って証明書に署名します:

    openssl x509 -req -in syslogServer.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out syslogServer.crt -days 2048 -sha256