古いサーバのBMC Remote Console/Console Redirectionに接続できない場合の対処

 

免責事項

本記事内は通常運用ではリスクのある設定変更について記述しています。

もし本記事を参考にする場合は変更内容の意味やリスクを十分に把握したうえで、必要な場合のみにご利用ください。

本記事内で紹介している変更手順を実施したことによる損害については一切責任を負えません。

 

 

関連ブログ

本記事は以下の過去ブログと類似のナレッジです。

https://itorwar.blogspot.com/2023/08/idracjava.html

 

 

 

事象

古いサーバの再利用のために、BMCからRemote Console/Console RedirectionJava)を起動しようとしたらセキュリティ関連のエラーで起動ができませんでした。

古いサーバは利用するSSL証明書やSSLチェーン内のCA証明書の期限が切れていたり、すでにサポートされていない暗号化やハッシュのプロトコルを利用していることがあり、その場合は最新の環境ではセキュリティエラーでアプリケーションが起動しないことがあります。

 

 

やったこと一覧

BMCでのSSL証明書再作成

端末側のJavaのセキュリティ設定の変更

端末側のJava例外リストに登録

端末側のJavaでの 「署名付きコード証明書失効チェック」を無効化

 

 

 

BMCでのSSL証明書再作成

古い場合はBMC側で持っているSSL証明書が期限切れの場合があります。

ブラウザによってはRemote Console/Console Redirectionの起動に必要なjnlpファイルのダウンロードを許可しない場合もありますので、

BMC側で証明書更新の手順が準備されている場合、まずはSSL証明書の更新をしたほうが良いです。

手順はBMCの機能に依存するため、手順紹介は省きます。

私の環境ではBMC GUIにログインしてからConfiguration -> SSL から証明書の更新が可能でした。

GUIの機能で自己署名証明書を再生成して更新できる場合もあれば、自身で作成した証明書をアップロードするパターンもあります。

自己署名証明書の作成方法はググればたくさん出てくると思いますが、例としてOpensslを利用する手順を紹介しているページを一つ載せておきます。

OpenSSL SSL 自己証明書を発行する手順 | (oscasierra.net)

 

 

 

 

端末側のJavaのセキュリティ設定の変更

古いサーバのBMCCipher Suiteが古く、最新の端末環境からはアクセスできない場合があります。

Cipher Suiteについては以下の説明が端的でわかりやすいと思います。

暗号スイート(サイファースイート)とは - 意味をわかりやすく - IT用語辞典 e-Words

 

古いサーバ側で新しいCipher Suiteに対応できればそれが一番ですが、それが困難なケースも多いです。

その場合はクライアント端末側でセキュリティ設定を変更することで接続できるようになる場合があります。

BMCRemoteConsole/Console Redirectionは、古いものであればJavaを利用(jnlpファイルの実行)しているケースがほとんどと思いますので、

Javaのセキュリティ設定を編集することで接続できるようになる場合があります。

私の環境では以下の設定を変えることで古いCipher Suiteでの接続が可能になりました。

 

※以下の設定は端末のセキュリティ機能を低下させる非推奨な設定となります。リスクを把握したうえで自己責任で実施ください。

 

C:\Program Files\Java\<version>\lib\security\java.security をエディタで開いて以下の部分をコメントアウト(連続した項目ではありません。)

 

#jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer, \

#    RSA keySize < 1024, DSA keySize < 1024, EC keySize < 224, \

#    include jdk.disabled.namedCurves, \

#    SHA1 usage SignedJAR & denyAfter 2019-01-01

 

------------------------------

 

#jdk.security.legacyAlgorithms=SHA1, \

#    RSA keySize < 2048, DSA keySize < 2048

 

 

------------------------------

 

 

#jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, \

#      DSA keySize < 1024, include jdk.disabled.namedCurves, \

#      SHA1 denyAfter 2019-01-01

 

 

------------------------------

 

 

#jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \

#    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \

#    include jdk.disabled.namedCurves

 

環境によっては過不足があると思いますので実際の環境に合わせていろいろとお試しください。

 

 

 

 

 

端末側のJava例外リストに登録

 

古いサーバのBMC Remote Console/Console Redirection は信頼されないアプリケーションとして、Javaのセキュリティ設定が「高」もしくは「非常に高い」になっている場合は接続ができない場合があります。

その場合はセキュリティ設定を「中」にする必要がありますが、最近のJavaのバージョンでは「中」の選択肢がありません。

その場合はJavaの例外リストにBMCURLを登録します。

 

※以下の設定は端末のセキュリティ機能を低下させる非推奨な設定となります。リスクを把握したうえで自己責任で実施ください。

 

Javaの例外リストはJavaのコントロールパネルから設定ができます。





 

 

登録サイトが多い場合は例外サイトの設定ファイルを直接設定するほうが簡単です。

私の環境では以下の場所にありました。

C:\Users\<ユーザ名>\AppData\LocalLow\Sun\Java\Deployment\security\exception.sites

 

以下のように1URL1行として記載すればOKです。

Http httpsかはサイトに依存しますが、どちらか分からない場合は両方のパターンで書いておけばどちらもカバーされます。

ファイルにはURLのみを記載し、不要な改行などは入れないほうが無難と思います。



 

 

 

 

端末側のJavaでの 「署名付きコード証明書失効チェック」を無効化

Remote Console/Console Redirectionのアプリが署名されている場合、その証明書の失効チェックがなされる場合があります。

その時に古いサーバのBMCの場合は失効チェックが失敗してアプリが起動できない場合があります。

その場合は下記の記事にもあるように署名付きコード証明書失効チェック」を無効化することで該当のチェックをスキップできます。(全文閲覧にはログインが必要)

参考: アーティクル - CS248570 - Windchill アプレットが Windchill PDMLink で「証明書が取り消されました」というエラーでロードに失敗する (ptc.com)

 

 

※以下の設定は端末のセキュリティ機能を低下させる非推奨な設定となります。リスクを把握したうえで自己責任で実施ください。

 

 

以下の図のようにJavaのコントロールパネルのAdvanced設定から該当項目で Do not checkを選択してください。

 

 

おわりに

本記事では古いサーバを再利用する際に発生した問題の回避策について紹介させていただきました。

紹介した設定の多くはセキュリティを低下されることにつながりますので、もし実施する場合はリスクを把握したうえで自己責任でお願いします。

古いセキュリティのプロトコルやCipher SuiteしかサポートしていないサーバやOSなどは、現在では保守が切れていると思いますし、何かしらのセキュリティ脆弱性を内包していると考えたほうが良いです。

決して本番環境や公開環境で利用することなく、攻撃を受ける心配のない安全な環境での再利用が必要になります。

その点にご留意いただきつつ、本記事の内容名が何らかのお役に立てば幸いです。

 

 

コメント

コメントを投稿

このブログの人気の投稿

vSwitchにSTPが不要な理由

イメージ
  ** 知っている人にとっては当たり前の内容です**     ESXiは多くの場合、冗長構成をとるために二つ以上のNICを利用し、それぞれ単一、もしくは別個の物理スイッチに接続されていると思います。 ESXiの物理NICはuplinkまたはvmnicとよばれ、ESXi内部にある仮想スイッチ(vSwitch)につながっています。 vSwitchはL2SWとしての役割をするため、物理スイッチをESXiの接続はスイッチ間接続となります。   図1:ネットワークトポロジ     vSwitchが物理スイッチと同等の動作をすると仮定した場合、この構成はループに相当します。 L2レベルでループがある場合は、ブロードキャストストームなどの問題が発生するためにSpanning Tree Protocol(STP)を設定する必要(最近では必ずしもそうとは言い切れないようですが。。。)があります。   ではvSwitchの場合でもSpanning Treeに参加する(ネットワークは専門外なので表現が間違っていたらすみません。。。)必要があるのでしょうか? 表題からもわかるように答えはNoです。 L2ネットワークでBPDUと呼ばれるパケットをやり取りすることで Spanning Treeが構成されますが、実際に、vSwitchではこのBPDUをDropしますので、vSwitchのUplinkがBlockされることはありません。   ではなぜ、vSwitchではトポロジ的にLoopであるにもかかわらずSpanning Treeが不要なのでしょうか?Loopによる問題は発生しないのでしょうか?   実はvSwitchはFloodingが必要な通信に対して特殊な動作をします。 その特殊動作のため、トポロジ的にLoopであっても問題は発生せず、Spanning Treeに参加する必要がないのです。   たとえば、ARPなどの外部からのブロードキャストフレームをuplink経由でvSwitchが受け取った場合、vSwitchに接続されるVMに対してはフレームを転送しますが、ほかのUplinkに対してはフレームを転送しません。   下図ではUplink1からBroadcast Packetを受信した際の動作を示しています。 Broadcast Packetは仮想スイッチに接続されるVMに対して転送
続きを読む

ESXi に DNS サーバを何個まで登録できるか

イメージ
ESXi の DNS サーバの最大登録可能数を調べる vSphere 構築経験のある多くの方は2つまでとお答えになるかもしれない。 なぜならば、DCUI や vSphere Client から設定した場合、Primary DNS と Alternative DNS の2つまでしか設定できないからだ。 GUI から設定する場合、苦し紛れにカンマ区切りなどで3つ以上登録しようと試みても無駄である。GUI でエラーになってはじかれるだけだ。 ならば、CLI はどうか。 /etc/resolv.conf に手動で追記していくだけであればストレージの許す限り記載することはできるだろうが、 この方法は当然ながら標準的な手順ではない。 esxcli を利用して DNS を登録することも可能である。具体的には以下のコマンドを利用する esxcli network ip dns server add -s <ip_address> 上記のコマンドを利用してどこまで登録可能かを試してみた。 具体的には以下のコマンドを用いて255個のDNSサーバを追加してみた for i in `seq 1 255`; do esxcli network ip dns server add -s 192.0.2.$i ;done なお、本ブログで記載される IP Address は例示用に予約されたものであり、RFC5737 から拝借している。 結果として、少々時間はかかるが登録自体は問題なく成功した。 実環境においてこれほど多くの DNS の登録をすることはあり得ないので、事実上制限なしと考えられる。 なお、参考のために他ベンダーも含める形で DNS 登録数の最大数を調べたところ、2 か 3 にしているところが多いようだ。 DNS を大量に登録した際の動作を調べる DNS クエリのタイムアウト時間:5 秒則 ESXi の DNS Client は最近の systemd-resolved などではなく、レガシーなソフトウェアであるため、 resolv.conf の上から順番に問い合わせていき、問合せ先の DNS に到達できなかった場合に次の DNS サーバに問い合わせる動作になる。 次の DNS サーバに問い合わせる条件はあくまでも到達できなかった場合であり、到達できた
続きを読む

障害でVDSから切断されたVCSAの復旧方法

この投稿は vExpert Advent Calendarの10日目です。 https://adventar.org/calendars/6689 本記事では以下の状況と、簡易な復旧方法について説明します。 環境 vCSAは自身が管理するvSphere Cluster上に存在する。 vCSAは自身が管理する vDSに接続される vCSAが接続されるdvportgroupはEphemeralではない 該当のvCSA以外にvSphere Clusterを管理できる vCSA は存在しない  障害状況 vCSAは何らかの理由により、もともと存在していたESXiから、別のESXiに再登録されている。 vCSAはvDSから切断されてしまっている。 解説 上記の状況は、ESXiの障害などによって副次的に発生しうる状況です。もともと、vCSA は vDS に接続されていましたが、ESXi の障害などにより、いったん Guest OS から Shutdown され、Host Client を利用して別の ESXi に再登録したうえで起動しています。 この場合、もともとvCSAが接続されていたdvportは別の ESXi 上のポートであるため、起動時にvCSAはvNICを接続することができず、切断状態となります。 vCSAが切断状態になり、かつESXiのHost Clientからは仮想マシンをvDSに接続することができないため(Ephemeral Port を除く)、vCSAの復旧が困難となります。  この状況において有効な解決策としては事前に用意しておいたEphemeral Port を利用するか、もしくは一時的にVSSを作成して復旧する方法が一般的な方法です。 事前にEphemeral Port の準備がない場合には、VSSを作成することになりますが、Uplinkに空きがない場合は、Uplinkを付け替える必要があり、手順は複雑になります。 今回はVSSを利用しない簡易な復旧方法についてご紹介します。 簡易な復旧方法 完結に手順を示すと以下です。 vNICが切断されているVCSAをShutdown  vCSAが存在する ESXi を Maintenance Mode~Reboot  vCSA を再度起動~vNICが接続状態であることを確認  上記に示した通り、ESXiをリブート
続きを読む