はじめに

Hinemos ver.7.1.x以降では、デフォルトでTLSv1.3が使用されます。

しかし、ご利用のOS環境やJavaのバージョンの組み合わせによっては、TLSv1.2にしか対応しておらず、
各Hinemosコンポーネント間で通信が行えなくなってしまうことがあります。

そこで今回は、各Hinemosコンポーネントからの通信においてTLSv1.3を無効化し、TLSv1.2へ切り替える方法をご紹介します。

HinemosマネージャからのTLS通信でTLSv1.3を無効化する

HinemosマネージャからのTLS通信でTLSv1.3を無効化し、TLSv1.2へ切り替えます。

【実施手順】

1. OSのコンソールで、hinemos.cfgをエディタなどで編集します。

ファイル配置場所：
/opt/hinemos/etc/hinemos.cfg

変更箇所：

#JAVA_OPTS="${JAVA_OPTS} -Djdk.tls.client.protocols=TLSv1.3,TLSv1.2 -Dhttps.protocols=TLSv1.3,TLSv1.2"　←コメントアウトする
JAVA_OPTS="${JAVA_OPTS} -Djdk.tls.client.protocols=TLSv1.2 -Dhttps.protocols=TLSv1.2"　←コメントを外す

2. Hinemosマネージャを再起動します。

Hinemos クライアントからのTLS通信でTLSv1.3を無効化する

Hinemos WebクライアントからのTLS通信でTLSv1.3を無効化する

Hinemos WebクライアントからのTLS通信でTLSv1.3を無効化し、TLSv1.2へ切り替えます。

【実施手順】

1. OSのコンソールで、hinemos_web.cfgをエディタなどで編集します。

ファイル配置場所：
/opt/hinemos_web/conf/hinemos_web.cfg

変更箇所：

#export JVM_SSL_OPTS="${JVM_SSL_OPTS} -Djdk.tls.client.protocols=TLSv1.3,TLSv1.2 -Dhttps.protocols=TLSv1.3,TLSv1.2"　←コメントアウトする
export JVM_SSL_OPTS="${JVM_SSL_OPTS} -Djdk.tls.client.protocols=TLSv1.2 -Dhttps.protocols=TLSv1.2"　←コメントを外す

2. Hinemos Webクライアントを再起動します。

HinemosリッチクライアントからのTLS通信でTLSv1.3を無効化する

HinemosリッチクライアントからのTLS通信でTLSv1.3を無効化し、TLSv1.2へ切り替えます。

【実施手順】

1. Hinemosリッチクライアントが起動している場合は終了します。

2. client_start.confを編集します。

ファイル配置場所：
64bitの場合：C:\Program Files(x86)\Hinemos\Client7.1.x\client_start.conf
32bitの場合：C:\Program Files\Hinemos\Client7.1.x\client_start.conf

変更箇所：

'jvmSslOpts = jvmSslOpts & " -Djdk.tls.client.protocols=TLSv1.3,TLSv1.2 -Dhttps.protocols=TLSv1.3,TLSv1.2"　←コメントアウトする
jvmSslOpts = jvmSslOpts & " -Djdk.tls.client.protocols=TLSv1.2 -Dhttps.protocols=TLSv1.2"　←コメントを外す

3. Hinemosリッチクライアントを起動します。

HinemosエージェントからのTLS通信でTLSv1.3を無効化する

HinemosエージェントからのTLS通信でTLSv1.3を無効化し、TLSv1.2へ切り替えます。

【実施手順】

●Linux版エージェント

1. OSのコンソールで、Hinemosエージェントを停止します。

2. hinemos_agent.cfgをエディタなどで編集します。

ファイル配置場所：
/opt/hinemos_agent/conf/hinemos_agent.cfg

変更箇所：

#JAVA_OPTS="${JAVA_OPTS} -Djdk.tls.client.protocols=TLSv1.3,TLSv1.2 -Dhttps.protocols=TLSv1.3,TLSv1.2"　←コメントアウトする
JAVA_OPTS="${JAVA_OPTS} -Djdk.tls.client.protocols=TLSv1.2 -Dhttps.protocols=TLSv1.2"　←コメントを外す

3. Hinemosエージェントを起動します。

●Windows版エージェント

1. OSのコンソールで、Hinemosエージェントを停止します。

2. OSのコンソールで、RegistAgentService.batをエディタなどで編集します。

ファイル配置場所：
64bitの場合：C:\Program Files (x86)\Hinemos\Agent7.1.x\bin\RegistAgentService.bat
32bitの場合：C:\Program Files\Hinemos\Agent7.1.x\bin\RegistAgentService.bat

変更箇所：

REM SET JAVA_OPTS=%JAVA_OPTS% "-Djdk.tls.client.protocols=TLSv1.3,TLSv1.2" "-Dhttps.protocols=TLSv1.3,TLSv1.2"　←先頭に「REM」を付与する
SET JAVA_OPTS=%JAVA_OPTS% "-Djdk.tls.client.protocols=TLSv1.2 -Dhttps.protocols=TLSv1.2"　←先頭の「REM」を除去する

3. エージェントサービスを登録解除、登録(※)します。

4. Hinemosエージェントを起動します。

※Windows版エージェントをWindowsサービスに再登録する方法は以下になります。
　1. Windowsの画面で、以下の手順でWindows版Hinemosエージェントのサービスを登録解除します。
　　1-1. Windows版Hinemosエージェントを停止します。
　　1-2. OSのコンソールで、以下のバッチファイルを実行します。
　　　ファイル配置場所：
　　　64bitの場合：C:\Program Files (x86)\Hinemos\Agent7.1.x\bin\UnregistAgentService.bat
　　　32bitの場合：C:\Program Files\Hinemos\Agent7.1.x\bin\UnregistAgentService.bat
　　→Windows版HinemosエージェントがWindowsサービスから、登録解除されます。

　2. Windowsの画面で、以下の手順でWindows版Hinemosエージェントのサービスを登録します。
　　2-1. RegistAgentService.conf の値を、エディタなどで書き換えます。
　　　ファイル配置場所：
　　　64bitの場合：C:\Program Files (x86)\Hinemos\Agent7.1.x\bin\RegistAgentService.conf
　　　32bitの場合：C:\Program Files\Hinemos\Agent7.1.x\bin\RegistAgentService.conf
　　　変更箇所：
　　　変更が必要な箇所
　　2-2. OSのコンソールで、以下のバッチファイルを実行します。
　　　ファイル配置場所：
　　　64bitの場合：C:\Program Files (x86)\Hinemos\Agent7.1.x\bin\RegistAgentService.bat
　　　32bitの場合：C:\Program Files\Hinemos\Agent7.1.x\bin\RegistAgentService.bat
　　→Windows版HinemosエージェントがWindowsサービスに登録されます。

　　※ 以下の作業は必要に応じて実施します。
　　3. OSのコンソールで、[スタート]-[コントロールパネル]-[管理ツール]-[サービス]をクリックします。
　　4. "Hinemos_7.1_Agent" を右クリックします。
　　→コンテキストメニューが表示されます。
　　5. コンテキストメニューで、「プロパティ」をクリックします。
　　→Hinemos_7.1_Agentのプロパティダイアログが表示されます。
　　6. Hinemos_7.1_Agentのプロパティダイアログで、各種設定をします。

おわりに

この記事では各HinemosコンポーネントからのTLS通信でTLSv1.3を無効化し、TLSv1.2へ切り替える方法をご紹介しました。

運用の参考になれば幸いです。