Performance Monitoring Toolset での Elasticsearch 8.x の TLS/SSL および認証の設定

検索

最終更新日 : 2023年5月26日

ColdFusion Performance Monitoring Toolset では、Elasticsearch 8.2.x をデータストアとして使用します。サーバーに関する極めて重要な情報を収集してデータストアに保存するので、エンドツーエンド暗号化が必要になります。

ノードでの Elasticsearch の SSL 証明書の作成と TLS の有効化
CA とサーバーの証明書の生成
Elasticsearch で certgen を使用した証明書の生成
elasticsearch.yml ファイルでの証明書パスの指定
PMT および ColdFusion の JVM への証明書の読み込み
Performance Monitoring Toolset の変更点

これまでの変更点について

ColdFusion（2023 リリース）の Performance Monitoring Toolset で、Elasticsearch のバージョンが 5.x から 8.x にアップグレードされました。

ノード（node-1）での Elasticsearch の SSL 証明書の作成と TLS の有効化

CA とサーバーの証明書の生成

Elasticsearch で certgen を使用した証明書の生成

次のパスにある elasticsearch-certgen を実行します。

ColdFusion2023PerformanceMonitoringToolset/datastore/bin.

証明書を生成するには、いくつかの基本的な情報が必要になります。以下のターミナル出力を参考にしてください。

目的の出力ファイルを入力してください [C:/ColdFusion2023PerformanceMonitoringToolset/datastore/config/x-pack/certificate-bundle.zip] :

インスタンス名を入力してください : <node-1>
ディレクトリとファイルの名前を入力してください [データストアインスタンス名] :
インスタンスの IP アドレスを入力してください (複数の場合はコンマ区切り) [1.2.3.4] :
インスタンスの DNS 名を入力してください (複数の場合はコンマ区切り) [データストアインスタンス DNS] :

別のインスタンスを指定しますか？インスタンス情報の入力を続ける場合は「Y」を押してください :

C:/ColdFusion2023PerformanceMonitoringToolset/datastore/config/x-pack/certificate-bundle.zip（デフォルト）に書き込まれた証明書に対して、次の操作を行います。

生成された証明書（ColdFusion2023PerformanceMonitoringToolset/datastore/config/x-pack/certificate-bundle.zip）を解凍します。
生成された .crt ファイルと .key ファイルを C:/ColdFusion2021PerformanceMonitoringToolset/datastore/config フォルダーに移動します。

これは必須の手順です。

注意：

ca.crt ファイルは自己署名証明書です。実稼働デプロイメントの場合は、この証明書を認証局に提出して署名してもらう必要があります。

elasticsearch.yml ファイルでの証明書パスの指定

このファイルは ColdFusion2023PerformanceMonitoringToolset/datastore/config にあります。

このファイルに次のキーを含めます。
1. cluster.initial_master_nodes: [ "node1" ]
2. node.name: node1 network.host: node1.elastic.test.com
3. xpack.security.enabled: true
4. xpack.security.http.ssl.enabled: true
5. xpack.security.transport.ssl.enabled: true
6. xpack.security.http.ssl.key: certs/node1.key
7. xpack.security.http.ssl.certificate: certs/node1.crt
8. xpack.security.http.ssl.certificate_authorities: certs/ca.crt
9. xpack.security.transport.ssl.key: certs/node1.key
10. xpack.security.transport.ssl.certificate: certs/node1.crt
11. xpack.security.transport.ssl.certificate_authorities: certs/ca.crt
12. discovery.seed_hosts: [ "node1.elastic.test.com" ]
13. cluster.initial_master_nodes: [ "node1" ]
注意：

各コロンの後にはスペースが入っています。
ColdFusion2023PerformanceMonitoringToolset/datastore/bin に格納されている以下のスクリプトを使用して、パスワードを設定または再設定するか、新規ユーザーを追加します。
- ./elasticsearch-users useradd <user>
  新規パスワードを入力 :
  新規パスワードを再入力 :
- ./elasticsearch-users useradd elastic2 -p changeme -r all
- ./elasticsearch-reset-password -u elastic
このツールを実行すると、ユーザー（デフォルトは elastic）のパスワードが自動生成値にリセットされます。

パスワードはコンソールに出力されます。
Elasticsearch を再起動します。SSL と認証をテストするには、次の URL を入力します。

https://[ES_HOST]:[ES_PORT]

注意：

現在は、通信に https が使用されます。また、ユーザー名とパスワードの入力を求めるプロンプトがブラウザーに表示されます。

PMT および ColdFusion の JVM への証明書の読み込み

Java keytool を使用して、生成された ca.crt を、PMT と監視対象となる ColdFusion の JVM のキーストアに読み込みます。次のコマンドを使用します。

keytool -importcert -alias [aliasname] -keystore "[path to keystore]" -storepass [password of keystore] -file [path to ca.crt]default_keystore_path = ColdFusion2023/jre/lib/security/cacerts, ColdFusion2021PerformanceMonitoringToolset/jre/lib/security/cacertsdefault_keystore_password = changeit

注意：

キーストアエクスプローラー（https://keystore-explorer.org/）などのツールを使用して、サーバーから証明書を直接読み込むことができます。

JVM を再起動します。

Performance Monitoring Toolset の変更点

ColdFusion2023PerformanceMonitoringToolset/bin にある datastore.bat または datastore.sh ファイルを実行します。

このユーティリティは、データストアの詳細を更新するために使用されます。

データストアのホストを入力してください [localhost] : <host IP>

データストアのポートを入力してください [9200] : <port>

データストアが SSL で動作していますか？ [N](Y/N) : y

データストアのユーザー名を入力してください : <user-name>

データストアのパスワードを入力してください : <password>

変更を反映させるには、Performance Monitoring Toolset を再起動します。

アップグレード後のメリット

Elasticsearch でデータの格納に必要なディスク容量が、以前のバージョンよりも少なくなりました。
Elasticsearch のパフォーマンスが向上しました。
x-pack のサードパーティライセンスに依存していた SSL/TLS のようなセキュリティ機能が無料になり、Elasticsearch そのものの一部として含まれるようになりました。