SSL構成プロパティ

コントローラSSL対応

trueに設定すると、エージェントがSSL (HTTPS) を使用してコントローラに接続するよう指定します。SSL対応がtrueの場合、コントローラポートのプロパティをコントローラのHTTPSポートに設定します。「コントローラ ポート プロパティ」を参照してください。

Element in controller-info.xml<controller-ssl-enabled>

System Property-Dappdynamics.controller.ssl.enabled

Environment Variable:APPDYNAMICS_CONTROLLER_SSL_ENABLED

Type:ブール型

Default:False

Required: なし

コントローラ キーストアパスワード

コントローラ証明書のパスワードのプレーンテキスト値。[暗号化されたログイン情報の使用(Use Encrypted Credentials)] が true の場合、パスワードを暗号化します。暗号化された認証情報を使用エージェントのログイン情報の暗号化」を参照してください。

Element in controller-info.xml<controller-keystore-password>

System Property-Dappdynamics.controller.keystorePassword

Environment VariableAPPDYNAMICS_CONTROLLER_KEYSTORE_PASSWORD

Type:文字列

Default: なし

Required: なし

コントローラ キーストアパスワード

デフォルトでは、エージェントは、エージェントホームの <agent_home>/<version>/conf ディレクトリにある cacerts.jks という名前の Java トラストストアファイルを探します。このプロパティを使用し、異なるJavaトラストストアファイルを使うコントローラSSL証明書の完全な検証を可能にします。「Java エージェント用 SSL の有効化」を参照してください。Javaエージェント用SSLの有効化

Element in controller-info.xml<controller-keystore-filename>

System Property-Dappdynamics.controller.keystoreFileName

Environment VariableAPPDYNAMICS_CONTROLLER_KEYSTORE_FILENAME

Type:文字列

Default: なし

Required: なし

デフォルトのSSL証明書検証の強制

SSL検証のデフォルトの動作をオーバーライドするのに使用。このプロパティには3つの状態があります。

  • true:エージェントは、コントローラによって送信された証明書の完全な検証を強制的に実行します。これにより、エージェントは SSL 信頼チェーンを適用できます。パブリック証明機関(CA)がコントローラの SSL 証明書に署名した場合、この設定を使用します。「トラステッド CA 署名済み証明書を使用したオンプレミス SSL の有効化」を参照してください。
  • false:エージェントは、証明書の最小限の検証を実行します。このプロパティはコントローラのSSL証明書の完全な検証を無効にします。SaaS証明書の検証が失敗した場合にこの設定を使用。
  • unspecified:エージェントが実行する検証内容は、コンテキストに応じて以下のようになります。
    • エージェントがSaaSコントローラに接続している場合、完全な検証を実行。
    • エージェントがオンプレミスコントローラに接続しており、cacerts.jks ファイルがある場合、cacerts.jks ファイルを使用して完全な検証が実行されます。
    • エージェントがオンプレミスコントローラに接続しており、cacerts.jks ファイルがない場合、最小限の検証が実行されます。

System Property- Dappdynamics.force.default.ssl.certificate.validation

Type:ブール型

Default: なし

Required: なし

注: デフォルトの SSL 検証強制プロパティは、トランザクション分析のために Java エージェントをイベントサービスに接続する場合にも適用されます。「Java エージェント用 SSL の有効化」を参照してください。

Splunk AppDynamics エージェントの SSL プロトコル

「」にある SSL 互換性に関する表には、さまざまなバージョンの Java エージェントのデフォルト セキュリティ プロトコルが一覧で表示されています。 エージェントとコントローラの互換性ご使用のバージョンのエージェントのデフォルト セキュリティ プロトコルがコントローラと互換性がない場合、または介在するプロキシとの互換性がない場合は、--Dappdynamics.agent.ssl.protocol システムプロパティを渡して次のセキュリティプロトコルのいずれかを構成します。

  • [SSL]
  • [TLS]
  • TLSv1.2
  • TLSv1.1

System Property-Dappdynamics.agent.ssl.protocol

Type:文字列

Default:「エージェントとコントローラテナントの互換性」を参照してください。

Required: なし

許可される TLS/SSL プロトコルの構成

TLS/SSL を介したエージェント通信により、エージェントは、JVM セキュリティサブシステムを初期化することにより、許可されるプロトコルのリストを設定します。既知の脆弱性により、Splunk AppDynamics はデフォルトで SSLv3 と TLSv1 プロトコルを除外します。

JVM の初期化後は、許可されるプロトコルのリストを変更できなくなります。エージェントが SSLv3 または TLSv1 プロトコルを無効にしないようにする場合は、次のプロパティを使用して、一方(またはカンマで区切って両方)のプロトコルを指定することにより、許可されるよう構成できます。

System Property-Dappdynamics.agent.tls.allowedAlgorithms

Type:文字列

Default: なし

Required: なし

次の例では、TSLv1.2 を JVM で使用できます。

-Dappdynamics.agent.tls.allowedAlgorithms=TLSv1.2
注: このプロパティは、Java エージェントの 4.5.13 バージョンから適用されます。

無効な TLS/SSL プロトコルの設定

TLS/SSL を介したエージェント通信により、エージェントは JVM セキュリティサブシステムを初期化することにより、許可されるアルゴリズムのリストを設定します。

JVM の初期化後は、許可されるプロトコルのリストを変更できなくなります。エージェントが特定のアルゴリズムを有効にしないようにする場合は、次のプロパティを使用して、一方(またはカンマで区切って両方)のアルゴリズムを指定することにより、無効になるように設定できます。

System Property-Dappdynamics.agent.tls.disabledAlgorithms

Type:文字列

Default: なし

Required: なし

JVM: 
-Dappdynamics.agent.tls.disabledAlgorithms=RSASSA-PSS,RSAPSS