ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、こちらまでご連絡ください。

Elasticsearchの保護

Elasticsearch をセキュリティ保護するために最初に行う必要があるのは、 X-Pack Security を有効にすることです。その後、認証と暗号化通信の設定を開始できます。

注

Elasticsearch 6.x: Elasticsearch 6 を使用している場合は、Elastic の X-Pack Security を使用するために、Liferay Enterprise Search (LES) サブスクリプションと Liferay Enterprise Search Security アプリケーションが必要です。 Liferay Connector to Elasticsearch 7 ( カスタマーダウンロードポータルで入手可能、Liferay 7.3+ にバンドル) 以降では、Elastic の X-Pack セキュリティのサポートがデフォルトで含まれています。 Elastic社のX-Packモニタリングと連携するには、LESが必要です。

X-Pack Securityの有効化

セキュリティを有効にするには、各Elasticsearchノードの［Elasticsearch Home］/config/elasticsearch.ymlファイルに次の設定を追加します。

xpack.security.enabled: true

これで、X-Packユーザーを設定できます。

X-Packユーザーの設定

X-Pack を使用するシステムでは、これらの組み込み X-Pack ユーザーが重要です。

kibana_system
elastic

Elasticsearch サーバーで、 setup-passwords コマンドを使用してパスワードを設定します。

./bin/elasticsearch-setup-passwords interactive

注

以下に示す設定では、すべてのパスワードが liferayに設定されていることを前提としています。インストールの際には、独自のパスワードを使用してください。

注

組み込みユーザーのパスワードを更新するには、Kibana の UI またはパスワード変更 APIを使用します。

Elasticsearch通信の暗号化

トランスポート層セキュリティ（TLS）を有効にするには、ノード証明書と鍵を生成し、ElasticsearchサーバーとLiferayサーバーに適用する必要があります。

ノード証明書の生成

各ノードに証明書を生成するか、Liferay のようにすべてのノードとクライアントで使用される証明書を生成—します。または、認証局を使用してノード証明書を取得します。

X-Pack の certutil コマンドを使用して、X-Pack 証明機関を生成します。
```
./bin/elasticsearch-certutil ca --ca-dn CN=elastic-ca
```
elastic-stack-ca.p12というファイルが生成されます。

認証局の証明書と秘密鍵をPEM形式で生成するには、
```
./bin/elasticsearch-certutil ca --pem --ca-dn CN=elastic-ca
```
認証局ファイルを［Elasticsearch Home］/config/certsフォルダに移動します。
作成したCAを使用して、X.509証明書と秘密鍵を生成します。

PKCS#12形式で証明書と鍵を生成するには、次のコマンドを実行します。
```
./bin/elasticsearch-certutil cert --ca config/certs/elastic-stack-ca.p12 --ca-pass liferay --dns localhost --ip 127.0.0.1 --name elastic-nodes
```
PEM形式で証明書と鍵を生成するには、次のコマンドを実行します。
```
./bin/elasticsearch-certutil cert --pem --ca-cert config/certs/ca.crt --ca-key config/certs/ca.key --dns localhost --ip 127.0.0.1 --name elastic-nodes
```
PKSC#12認証局からPEM形式のノード証明書と鍵を生成するには、次のコマンドを実行します。
```
./bin/elasticsearch-certutil cert --pem --ca config/certs/elastic-stack-ca.p12 --ca-pass liferay --dns localhost --ip 127.0.0.1 --name elastic-nodes
```
注

Liferay 7.3 以降では、 Elasticsearch コネクタ構成で次のキーストアタイプのみを使用できます。

複数のホストで動作する証明書を生成するには（たとえば、すべてのElasticsearchおよびLiferayサーバーで同じ証明書を使用するには）、DNS名とIPアドレスを列挙する際にカンマ区切りのリストを使用します。
```
./bin/elasticsearch-certutil cert --ca config/certs/elastic-stack-ca.p12 --ca-pass liferay --dns localhost,example.com,es-node1,es-node2,es-node3 --ip 127.0.0.1,<IPv4-address-2>,<IPv4-address-3>,<IPv4-address-4>
```
elasticsearch-certutil cert コマンドは、 elastic-nodes.p12 という別のファイルを生成します（他の名前でかまいません）。

注

certutil コマンドは、証明書の生成にデフォルトで PKCS#12 形式を使用し、Elastic Stack 7.x で動作します。 Kibana 6.x は PKCS#12 証明書では動作しないため、Liferay 7.2 と Kibana 6.x を Liferay Enterprise Search Monitoringとともに使用している場合は、 --pem オプション ( PEM 形式で証明書を生成) が重要です。それぞれの場合の PEM コマンドは、2 つの ZIP ファイルを生成します: ca.crt と ca.key、 elastic-nodes.crt と elastic-nodes.key。アーカイブの内容を [Elasticsearch Home]/config/certs フォルダに解凍します。
elastic-nodes.p12を［Elasticsearch Home］/config/certsフォルダに移動します。

チェックポイント：［Elasticsearch Home］/config/certsフォルダに次のファイルができました。
```
elastic-nodes.p12
elastic-stack-ca.p12
```
または
```
ca.crt
ca.key
elastic-nodes.crt
elastic-nodes.key
```
ファイルを各Elasticsearchノードの同じフォルダと各Liferayサーバーノードの適切な場所にコピーします。

証明書と鍵が、Elasticsearch設定で使用できるようになりました。

Elasticsearch用のTLSを設定する

各ノードの [Elasticsearch Home]/config/elasticsearch.yml ファイルを使用して、TLS を有効にします。

ノード間通信のためにelasticsearch.ymlで次の設定を使用してトランスポート層TLSを有効にします。
```
xpack.security.transport.ssl.enabled: true
```

トランスポートレイヤーTLSの設定証明書、鍵、認証局のパスを各ノードのelasticsearch.ymlに追加します。

# PKCS#12
xpack.security.transport.ssl.keystore.path: certs/elastic-nodes.p12
xpack.security.transport.ssl.keystore.password: liferay
xpack.security.transport.ssl.truststore.path: certs/elastic-nodes.p12
xpack.security.transport.ssl.truststore.password: liferay
# PEM
#xpack.security.transport.ssl.certificate_authorities: [ "certs/ca.crt" ]
#xpack.security.transport.ssl.certificate: certs/elastic-nodes.crt
#xpack.security.transport.ssl.key: certs/elastic-nodes.key

xpack.security.transport.ssl.verification_mode: certificate

上記のパスの例は、［Elasticsearch Home］/config/certsに証明書を追加したことを前提としています。

HTTPレイヤーでTLSを有効にして、クライアント通信を暗号化します。
```
xpack.security.http.ssl.enabled: true
```

HTTPレイヤーのTLSを設定します。各ノードの elasticsearch.ymlに、証明書、鍵、認証局のパスを追加します。

# PKCS#12
xpack.security.http.ssl.keystore.path: certs/elastic-nodes.p12
xpack.security.http.ssl.keystore.password: liferay
xpack.security.http.ssl.truststore.path: certs/elastic-nodes.p12
xpack.security.http.ssl.truststore.password: liferay
# PEM
#xpack.security.http.ssl.certificate_authorities: [ "certs/ca.crt" ]
#xpack.security.http.ssl.certificate: certs/elastic-nodes.crt
#xpack.security.http.ssl.key: certs/elastic-nodes.key

Elasticsearchのセキュリティ設定の例

完全な Elasticsearch 構成は次のとおりです (elasticsearch.yml; Elasticsearch 6.5.x 以降にも同様に適用されます)。

cluster.name: LiferayElasticsearchCluster

# X-Pack Security
xpack.security.enabled: true

## TLS/SSL settings for Transport layer (PKCS#12)
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.keystore.path: certs/elastic-nodes.p12
xpack.security.transport.ssl.keystore.password: liferay
xpack.security.transport.ssl.truststore.path: certs/elastic-nodes.p12
xpack.security.transport.ssl.truststore.password: liferay
xpack.security.transport.ssl.verification_mode: certificate

# TLS/SSL settings for HTTP layer (PKCS#12)
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-nodes.p12
xpack.security.http.ssl.keystore.password: liferay
xpack.security.http.ssl.truststore.path: certs/elastic-nodes.p12
xpack.security.http.ssl.truststore.password: liferay

# Comment out when Kibana and Liferay's X-Pack Monitoring are also configured
#xpack.monitoring.collection.enabled: true

LiferayでElasticsearchへの安全な接続を設定する

Liferayでは、セキュリティはコントロールパネルまたは設定ファイルを使用して構成できます。 コントロールパネル → 構成 → システム設定に移動します。 ［検索機能］カテゴリを見つけて、Liferay 7.3+の［Elasticsearch 7］エントリまたはLiferay 7.2の［X-Pack Security］エントリをクリックします。ここにプロパティ値を入力することもできますが、[Liferay Home]/osgi/configsにデプロイされている設定ファイルを使用するのが一般的です。

重要

Elasticsearch 7 システム設定エントリと対応する構成ファイルは、Elasticsearch 8 への接続を構成するためにも使用されます。

ファイルの正確なコンテンツは、X-Packの設定によって異なります。 passwordは、上記のX-Packユーザーパスワードのセットアップ中に設定したものと一致する必要があります。

ここで参照されている証明書と鍵のファイルは、Elasticsearchサーバーノードで使用されているものと同じです。それらをLiferayサーバーにコピーし、それに応じて設定内のパスを更新します。

TLSの設定に加えて、authenticationEnabled/requiresAuthenticationをtrueに設定し、LiferayがElasticsearchへの認証に使用するElasticsearchユーザーの認証情報を提供することにより、以下の設定で認証を有効にします。

セキュリティの設定が完了したら、Elasticsearchを再起動します。これらの手順では、Elasticsearchクラスターを完全に再起動する必要があります。

Liferay 7.3および7.4でElasticsearchへの安全な接続を設定する

ヒント

Elasticsearch のインストールおよび Elasticsearch への接続では、セキュリティの有効化と構成について説明しています。7.3 以降に該当するセキュリティ構成については、これらを参照してください。

Liferay 7.3 以降にバンドルされている Elasticsearch コネクタには、X-Pack Security サポートが含まれています。 Elasticsearch コネクタ構成で使用できるサポートされているキーストアタイプの一覧については、 Java 11 セキュリティドキュメントを参照してください。

以下のようなファイルを作成します。

com.liferay.portal.search.elasticsearch7.configuration.ElasticsearchConfiguration.config

次のようにファイルにデータを入力します。

operationMode="REMOTE"
productionModeEnabled=B"true"
username="elastic"
password="liferay"
authenticationEnabled=B"true"
httpSSLEnabled=B"true"
networkHostAddresses=["https://localhost:9200"]
truststorePassword="liferay"
truststorePath="/PATH/TO/elastic-nodes.p12"
truststoreType="pkcs12"

Liferay 7.2でElasticsearchへの安全な接続を設定する

Elasticsearch 7 以降のすべての Liferay コネクタには、X-Pack Security サポートが含まれています。

注

Liferay 7.2 および Elasticsearch 6.x を使用しており、Liferay Enterprise Search サブスクリプションをお持ちの場合は、「Liferay Enterprise Search Security」アプリケーションをダウンロードしてください。 LPKG ファイルを [Liferay Home]/deploy フォルダにコピーしてインストールします。

以下のようなファイルを作成します。

com.liferay.portal.search.elasticsearch7.configuration.XPackSecurityConfiguration.config

（またはElastic Stack 6.xとLiferay Enterprise Search Securityアプリケーションを使用している場合はcom.liferay.portal.search.elasticsearch6.configuration.XPackSecurityConfiguration.config）

次のようにファイルにデータを入力します（PKCS#12）：

certificateFormat="PKCS#12"
sslKeystorePath="/PATH/TO/elastic-nodes.p12"
sslKeystorePassword="liferay"
sslTruststorePath="/PATH/TO/elastic-nodes.p12"
sslTruststorePassword="liferay"
requiresAuthentication=B"true"
username="elastic"
password="liferay"
transportSSLVerificationMode="certificate"
transportSSLEnabled=B"true"

PEM形式の証明書を使用している場合は、次のような設定を使用します。

certificateFormat="PEM"
sslKeyPath="/PATH/TO/elastic-nodes.key"
sslCertificatePath="/PATH/TO/elastic-nodes.crt"
requiresAuthentication=B"true"
username="elastic"
password="liferay"
sslCertificateAuthoritiesPaths="/PATH/TO/ca.crt"
transportSSLVerificationMode="certificate"
transportSSLEnabled="true"

Liferay 7.3 および 7.4 の Elasticsearch コネクタのセキュリティ設定

7.3 以降の Elasticsearch コネクタのセキュリティ設定の完全なリストは次のとおりです (括弧内はデフォルト値)。

authenticationEnabled（true）：ユーザー名とパスワードを使用したElasticsearchへの認証を有効または無効にします。

username（elastic）：［認証が有効］がオンになっている場合、認証用のユーザー名をElasticsearchに設定します。

password：[認証が有効]がオンになっている場合、認証用のパスワードをElasticsearchに設定します。

httpSSLEnabled (false): TLS/SSL を有効または無効にします。

truststoreType（pkcs12）：［HTTP SSLが有効］がオンになっている場合、トラストストアの種類を設定します。

truststorePath（/path/ro/localhost.p12）：［HTTP SSLが有効］がオンになっている場合、トラストストアファイルへのパスを設定します。

truststorePassword：[HTTP SSLが有効]がオンになっている場合、パスワードをトラストストアに設定します。

Liferay 7.2のエンタープライズ・サーチセキュリティ/X-Pack Securityの設定

Liferay 7.2のX-Pack Security構成の設定の完全な一覧は次のとおりです。

sslKeyPath（/path/to/instance.key）：秘密鍵を含むPEMエンコードファイルへのパスを設定します。

sslCertificatePath（/path/to/instance.crt）：クライアントが接続するときにクライアントに提示される証明書（または証明書チェーン）を含むPEMエンコードファイルへのパスを設定します。デフォルトは/path/to/instance.crtです。

sslcertificateAuthoritiesPaths (["/path/to/ca.crt"]) です。信頼できるPEMエンコードされた証明書ファイルのパスのリストを提供します。

certificateFormat (PKCS#12): 証明書の形式を指定します (PEM または PKCS#12)。

requireAuthentication（false）：有効にすると、Elasticsearch/X-Packとの接続は設定されたユーザー名とパスワードで認証されます。

username（elastic）：［認証を要求］が有効になっている場合は、認証用のユーザー名をElasticsearchに設定する必要があります。

password：[認証を要求]が有効になっている場合、パスワードが必要です。

transportSSLVerificationMode（certificate）：LDAPを使用して中間者攻撃や証明書の偽造から保護する場合は、検証タイプ（none、certificate、または full）を指定します。

transportSSLEnabled（false）：TLS/SSLを設定または無効にします。

sslKeystorePath（/path/to/elastic-certificates.p12）：秘密鍵と証明書を保持しているキーストアへのパスを設定します。

sslKeystorePassword: PKCS#12ファイルのパスワードを設定します。

sslTruststorePath（/path/to/elastic-certificates.p12）：トラストストアファイルへのパスを設定します。

sslTruststorePassword：パスワードをトラストストアに設定します。

TLSプロトコルと暗号スイートの設定

Liferay の JVM で TLS プロパティを設定することで、Elasticsearch-Liferay 接続の暗号化に使用される TLS プロトコルバージョンと暗号スイートを制御できます。 Tomcat サーバーの setenv.shでこれらのプロパティを設定できます。

CATALINA_OPTS="$CATALINA_OPTS -Djdk.tls.client.protocols=TLSv1.2
CATALINA_OPTS="$CATALINA_OPTS -Djdk.tls.client.cipherSuites=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256"

これらはサンプル値であることに注意してください。

これらの設定は、対応する XPack 設定と連携して機能します。

Liferay 7.3 または 7.4 で REST クライアント接続を構成する場合は、 HTTP レイヤー設定を elasticsearch.ymlで次のように使用します。

xpack.security.http.ssl.supported_protocols: [ "TLSv1.2" ]
xpack.security.http.ssl.cipher_suites : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Liferay 7.1 および 7.2 でトランスポートクライアントを構成する場合は、トランスポート設定を elaticsearch.ymlで次のように使用します。

xpack.security.transport.ssl.supported_protocols: [ "TLSv1.2" ]
xpack.security.transport.ssl.cipher_suites : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Resource Type: