mobile
 
ブログ サポート 会社案内 アクセス

製品サポート

一部Dominion製品のディジタル証明書の有効期限について

Posted on November 18, 2011

※この情報は2011/11/18現在のものです。本事象につきましての最終的なご案内となります。

現象
● DominionシリーズへのGUI接続
弊社Dominionシリーズ製品のうち、過去に出荷されたユニット、あるいは過去にリリースされたファームウェアに同梱されている(SSL通信のための)デジタル証明書の一部に「2011/11/15」に有効期限を迎えたものがあります。有効期限を過ぎた証明書をそのまま使用している場合、GUIアクセス時にブラウザのセキュリティポリシーによっては、エラーの警告やDominionデバイスへの接続自体が許可されないなどの影響が想定されます。

● CC-SGとの併用時
Dominionデバイスの一部の機種(後述の“影響範囲 > 影響を受ける機種”の項を参照)では、CommandCenter Secure Gateway(CC-SG)の管理下に置かれた構成で有効期限を過ぎた証明書をそのまま使用している場合、ユーザがそのCC-SGを経由してターゲットサーバへのアクセスを行う際に、下記のようなエラーが表示されアクセスに失敗します。
Java security cert CertificateExpiredException
※ユーザ様にて独自に生成されたデジタル証明書を使用されている場合には証明書が有効期限内である限り該当しません。

影響範囲
CC-SGとの併用時に該当する場合、各Dominionシリーズへの影響は下記の通りです。
    ◆影響を受ける機種
    Dominion KX II、Dominion KX II-101、Dominion KX II-101-V2、Dominion KSX II

    ◆影響を受けない機種
     Dominion KX、Dominion KX-101、Dominion SX、Dominion PX
    (※Dominion KX、Dominion KX-101は、現在は販売終了している第一世代の機種となります)

対策方法
● 暫定的な対策
CC-SGの日付時刻設定を過去に戻す
暫定的な方法としましては、CC-SGでの日付時刻設定を、過去に戻すことで「ターゲットに接続できない」状況を解決できます。ただし、事前にログ等につきましてはバックアップの取得をお勧めします。
自己署名証明書を生成
一部のバージョン(後述)では、「自己署名証明書」の生成が可能です。デバイスユニット毎に、ユーザ様にて有効期限を指定した自己署名証明書を生成することで回避が可能です。ただし、この機能は一部の機種やバージョンでは利用できません。また、この自己署名証明書を使用している状態で当該ユニットのファクトリリセットを行った場合にはこの証明書は消去され、デフォルト証明書が適用されます。他のバージョンへのアップグレード時には自己署名証明書はそのまま保持されます。

    自己署名証明書作成画面
    ■ Dominion KX II 2.3 英語版をお使いのお客様
     DKX2のタブメニューより、Security > Certificate

    ■ Dominion KX II 2.4 日本語版をお使いのお客様
     DKX2のタブメニューより、セキュリティ > 証明書
      (下の画像をクリックすると拡大します)Dominion KX II 自己署名証明書

また、Dominion KX II-101、Dominion KX II-101 V2につきましては、上記機能は実装されていませんので、最新ファームウェアへのアップグレードにて対策となります。

● 恒久的な対策
最新バージョンにアップグレード
すべてのDominionシリーズ、およびCC-SGを最新のバージョンにアップグレードすることを推奨致します。最新バージョンでは、デジタル証明書は有効期限が2021年までとなっているものが同梱されています。また、最新のバージョンには、数々の便利な新機能や安定稼働に向けた不具合修正も含まれておりますので、この機会にアップグレードをご検討下さい。
 
最新バージョン一覧表
デバイス リリース
CC-SG 5.2.0.5.13
KX2 (1/2/4 user model) 2.4.0.5.437
KX2 (8 user model) 2.4.0.5.438
KSX2 2.3.5.5.5
KX2-101-V2 3.3.0.5.1053
KX2-101 2.0.40.5.8187

※CC-SGのアップグレードは、アップグレードパスに従って実施して下さい。過去のCC-SGには、最新バージョンへのアップグレードに対応していないものがあります。アップグレードパスについては下記サイトでご確認下さい。
http://www.raritan.com/jp/support/product/commandcenter-secure-gateway
ご不明点等ございましたらご購入先の販売代理店にご相談下さい。

パッチファイル適用
本現象に該当するDominion機器をCC-SGから管理している場合、弊社からご提供するパッチファイルを適用することで回避が可能です。このパッチファイルは該当するDominion機種のデジタル証明書のみを差し替える為のもので、その他の機能には影響ありません。すべてのファームウェアバージョンに適用可能ですが、該当するDominionがCC-SGの管理下にある必要があります。
※一度パッチ適用を実施したDominionに対してファクトリリセットを行った場合、パッチによって適用された証明書は引き続き保持されます。他のバージョンにアップグレードを行った場合には、パッチによって適用された証明書は上書きされます。
  パッチファイルのダウンロードはこちら ZIP(zip ファイル)
  パッチファイル適用手順についてはこちら PDF(pdf ファイル)

各ファームウェアバージョンの状況と対策方法の例

Dominion KX II、Dominion KX II-101、Dominion KX II-101-V2、Dominion KSX IIでは、最新バージョン(前述)へのアップグレードを推奨しておりますが、それが困難な場合には、下記の各ファームウェアバージョンの状況を参照の上、必要な対策をおとり下さい。
●Dominion KX II
ファームウェア
バージョン
対処法
2.0.21 証明書有効期限がすでに終了しています。証明書に関連する設定変更機能はありません。必要に応じて上位バージョンへのアップグレードを行って下さい。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.1 CSR/秘密鍵の生成が可能です。外部生成した証明書のインポートも可能です。必要に応じて上位バージョンへのアップグレードを行って下さい。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.2 CSR/秘密鍵/自己署名証明書の生成が可能です。外部生成した証明書のインポートも可能です。その場合アップグレードせずに対策可能となります。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.3 CSR/秘密鍵/自己署名証明書の生成が可能です。外部生成した証明書のインポートも可能です。その場合アップグレードせずに対策可能となります。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.4 CSR/秘密鍵/自己署名証明書の生成が可能です。外部生成した証明書のインポートも可能です。その場合アップグレードせずに対策可能となります。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
※なお、2.1以降でお客様独自に生成された証明書(“外部生成した証明書”)をインポートされている場合は、特に影響はありません。
●Dominion KX II-101
ファームウェア
バージョン
対処法
2.0.20 証明書有効期限がすでに終了しています。外部生成した証明書のインポートもできません。最新バージョン(2.0.40.5-8187)へアップグレードを行って下さい。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.0.40 証明書有効期限は2021年です。本現象の影響は受けないことになりますが、証明書に関連する設定変更機能はありません。最新バージョン(2.0.40.5-8187)へアップグレードを行って下さい。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
●Dominion KX II-101 V2
ファームウェア
バージョン
対処法
3.3.0 証明書有効期限がすでに終了しています。外部生成した証明書のインポートもできません。最新バージョン(3.3.0.5-1053)へアップグレードを行って下さい。 ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
●Dominion KSX II
ファームウェア
バージョン
対処法
1.0.1 証明書有効期限は2021年です。本現象の影響は受けないことになりますが、証明書に関連する設定変更機能はありません。必要に応じて上位バージョンへのアップグレードを行って下さい。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
2.3 CSR/秘密鍵/自己署名証明書の生成が可能です。外部生成した証明書のインポートも可能です。その場合アップブレードせずに対策可能となります。ただし、CC-SGの管理下にある場合、証明書更新のパッチファイルを適用可能です。
※なお、2.3以降でお客様独自に生成された証明書(“外部生成した証明書”)をインポートされている場合は、特に影響はありません。

CC-SGにつきましては、4.3以降のバージョンであれば、外部生成した証明書のインポートおよび本体ユニット内で自己署名証明書の生成・使用が可能です。

自己署名証明書の有効期限は十分な長さ(例:10年)を設定しての生成が可能です。 

ご不便をおかけしますが、よろしくお願い申し上げます。

※本情報はこれまでにお伝えしてまいりました内容のまとめとなります。過去のニュースは下記リンクをご参照ください。

http://www.raritan.com/jp/support/news/dominion-products-3-2011-11-16(第3報)

http://www.raritan.com/jp/support/news/dominion-products-2-2011-11-14  (第2報)

http://www.raritan.com/jp/support/news/dominion-products-2011-11-14 (第1報)

 

 

月刊アーカイブ
サポート情報
PDU関連製品の追加リリース、および、一部販売終了のご案内
Posted on October 6, 2017
Paragon® IIシリーズ販売終了のご案内
Posted on July 21, 2017
Video-over-IPネットワークソリューションRAV-IP製品の販売終了のお知らせ
Posted on May 29, 2017
新型iX7コントローラー搭載PDUの販売開始のご案内
Posted on May 10, 2017
MasterConsole® デジタル KVM スイッチ (MCD)シリーズの販売開始のご案内
Posted on April 23, 2017