問題タブ [secure-gateway]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - Secure Gateway - TLS バージョン
Secure Gateway によって実装されている TLS のバージョンに関する詳細が見つかりません。ドキュメントには TLS の実装方法が非常に詳細に記載されていますが、使用されているバージョンが見つかりません。 https://www.ng.bluemix.net/docs/services/SecureGateway/index-gentopic3.html#sg_007
この情報はどこで入手できますか?
ibm-cloud - Secure Gateway クライアントの acl に設定する必要がある Bluemix アプリのホスト名:ポート
Bluemix アプリのみが Secure Gateway クライアントにアクセスできるようにしたいと考えています。次のコマンドのような「アクセス制御リスト」を使用しました。
acl allow sampleapp.mybluemix.net
- sampleapp.mybluemix.net は、Bluemix アプリの FQDN です。
しかし、trx を実行するとエラー HTTP503 が発生しました。Secure Gateway クライアントのログは、「接続 #X から宛先 XXXX:XXX への接続は、アクセス制御リストにより拒否されました」でした。
Secure Gateway Client の acl に設定する Bluemix アプリの hostname:port はどれですか?
Secure Gateway クライアントの対話型コマンド行インターフェース https://www.ng.bluemix.net/docs/services/SecureGateway/sg_022.html#sg_009
ssl - keytool を使用して秘密鍵をキー ストアにインポートする方法
Bluemix Secure Gateway の宛先を TLS Mutual Auth で接続する Liberty アプリケーションを作成したいと考えています。キーストアを作成し、keytool で証明書と秘密鍵をキーストアにインポートしようとしましたが、秘密鍵のキーエイリアスがわかりません。秘密鍵をキー ストアにインポートするコマンドを実行できません。(証明書と秘密鍵は、Bluemix Secure Gateway の宛先から TLS Mutual Auth(*) で提供されたものです)
*Bluemix セキュア ゲートウェイ
https://www.ng.bluemix.net/docs/services/SecureGateway/index.html
秘密鍵のキーエイリアスを知る方法を教えていただけませんか? または、キーストアを作成して秘密鍵と証明書をインポートするためのキーツール(Javaコードではない)による他の方法を教えてもらえますか?
[Bluemix Secure Gateway の宛先が提供するファイル]
destination_id _key.pem
destination_id _cert.pem
【手順】
1. キーストアを作成し、証明書をキーストアに一括
# keytool -import -file *destination_id*_cert.pem -keystore myKeyStore.jks -storepass password -alias mutual_cert
インポート 2. 秘密鍵をキーストアにインポート
# keytool -importseckey -keyalias XXXXX -keystore myKeyStore.jks -storepass password -storetype jks -importfile *destination_id*_cert.pem
ibm-cloud - リモート REST API が HTTPS の場合、HTTPS オプションは必要ですか?
Bluemix アプリケーション (Liberty) を作成して、SSL で提供されるリモート REST API にアクセスしたいと考えています。ゲートウェイの「TLS 相互認証オプション」を使用する必要があります。ただし、SSLでリモートREST APIが提供されている場合に「HTTPSオプション」を使用する必要があるかどうかを判断するために、HTTPSとTLSサーバー認証の2つのケースをテストしました。HTTPS ケースは成功し、TLS サーバー認証は失敗しました。
SecureGatewayClient で HTTP ヘッダーを書き換えるために、リモート REST API が HTTPS の場合、HTTPS オプションは必要ですか? これが collect の場合、TLS Mutual Auth でゲートウェイを保護することはできませんか?
1. HTTPS オプション: 成功
このケースは成功しました。
2. TLS サーバー認証オプション: 失敗
このケースは失敗に終わりました。ゲートウェイのオプションを「HTTPS」から「TLS Server Auth」に変更しただけなので、原因は設定ミスではありません。
[Bluemix Liberty アプリのログ]
2015-07-01T04:17:58.64+0900 [RTR] OUT sampleapp.mybluemix.net
[30/06/2015:19:17:49 +0000] "GET /XXX HTTP/1.1" 200
2015-07-01T04:17:58.66+0900 [App/0] OUT res:404 Not Found: 要求されたルート ( 「cloudhost:cloudport」 ) が存在しません。[SG クライアントのログ]
[2015-06-30 02:37:38.144] [情報]リモート REST API のホストへの接続 #32 が確立されています:443 [2015-06-30 02:37:38.227] [情報] 接続 # 32 がリモート REST API のホストに確立されました:443 [2015-06-30 02:37:52.535] [INFO] リモート REST API のホストへの接続 #32:443 が閉じられました
ibm-cloud - 送信先の作成後にクライアント TLS オプションの証明書をアップロードする方法
宛先の作成後に有効になっている Bluemix Secure Gateway 宛先のクライアント TLS オプションを変更したいと考えています。
宛先を編集し、証明書をアップロードしました。しかし、証明書はアップロードされていないようです。アップロード フィールドは何も変更しませんでした。クライアント TLS オプションをオンにすると、アップロード フィールドが消え、証明書をアップロードできません。
クライアント TLS オプションを有効にし、証明書をアップロードして新しい証明書を作成する唯一の方法はありますか?
[証明書をアップロードしますが、何も変わりません]
[オプションをチェックすると、アップロード フィールドが消えます]
ibm-cloud - IBM API Management Service - SSL プロファイルをプロキシー API にバインドする方法は?
ラップトップにいくつかの API があります。それらは、セキュア ゲートウェイ サービスを介してインターネット上で表示されます。
セキュア ゲートウェイの宛先は、TLS 相互認証オプションを使用して構成されます。そのため、API には TLS 相互認証が必要です。
それらの API を API Management に追加したいと考えています。
[プロキシ] タブで SSL プロファイルをバインドできませんでしたが、[実装] タブで SSL プロファイルを HTTP GET 操作にバインドできました。
これは、SSL プロファイルをバインドするためにアセンブリ操作を実装する必要があるということですか?
docker - Secure Gateway Client で宛先のホストのホスト名を解決する方法
Bluemix Secure Gateway で宛先のホストとして、IP アドレスではなくホスト名を使用したいと考えています。docker Secure Gateway Client を使用しています。docker Secure Gateway Client がインストールされているホスト os の /etc/hosts を編集し、SG Client を --net=“host” または --add-host=hosname:IP アドレスで実行することで実現しようとしました。以下のQ&Aの回答に関して、Secure Gateway ServiceはDNSを使用していないようなので、/etc/hostsを使用してみました。
SG クライアントの ENOTFOUND エラーを解決する方法
しかし、成功できませんでした。SG Client は ENOTFOUND を取得しました。Secure Gateway Client で宛先ホストのホスト名を解決する方法を教えてください。
[ --net="host" の結果]
- ホストOSがホスト名を解決したことを確認しました。
#ping httpserver1 PING httpserver1 (192.168.56.1) 56(84) バイトのデータ。httpserver1 (192.168.56.1) からの 64 バイト: icmp_seq=1 ttl=128 time=7.10 ms httpserver1 (192.168.56.1) からの 64 バイト: icmp_seq=2 ttl=128 time=6.89 ms
- --net="host" を指定して SGClient を実行しました
# docker run -it ibmcom/secure-gateway-client XXXXXXXXXX --net=“host“<br> IBM Bluemix Secure Gateway Client バージョン 1.2.1
[2015-07-08 15:47:01.097] [情報] Secure Gatewayトンネルが接続されました - SG クライアントで ENOTFOUND エラーが発生しました
#[2015-07-08 15:47:01.097] [情報] Secure Gateway トンネルが接続されました
[2015-07-08 15:57:08.588] [情報] 接続 #3 が httpserver1:3000 に対して確立されています
[2015- 07-08 15:57:16.602] [エラー] 宛先 httpserver1:3000 への接続 #3 にエラーがありました: ENOTFOUND
[2015-07-08 15:57:16.603] [情報] httpserver1:3000 への接続 #3 が閉じられました
※SGのドキュメントを見ると、SGは --net=“host” に対応しているようですが、うまく動作しないようです。 https://www.ng.bluemix.net/docs/troubleshoot/SecureGateway/ts_index.html#ts_sg
[ --add-host=httpserver1:192.168.56.1 の結果]
- --add-host=httpserver1:192.168.56.1 で SGClient を実行しました
#docker run -it ibmcom/secure-gateway-client XXXXXXXXXX --add-host="httpserver1:192 .168.56.1" IBM Bluemix Secure Gateway クライアント バージョン 1.2.1 [2015-07-08 16:09:20.028] [ INFO] Secure Gateway トンネルが接続されました
- SG クライアントで ENOTFOUND エラーが発生しました
[2015-07-08 16:09:37.214] [情報] 接続 #5 が httpserver1:3000 に対して確立されています [2015-07-08 16:09:45.231] [エラー] 宛先 httpserver1:3000 への接続 #5 にエラーがありました: ENOTFOUND [2015-07-08 16:09:45.232] [情報] httpserver1:3000 への接続 #5 が閉じられました
ibm-cloud - Secure Gateway クライアントはどのポートを使用しますか?
オンプレミス環境で Secure Gateway Client を DMZ に設定する予定なので、SG Client が Bluemix 上の SG に接続するために Outbound ポートを開く必要があります。次の質問は私の質問に似ていますが、回答には必要なポートが表示されません。
Bluemix Secure Gateway サービスの場合、データ・センターのネットワークをどのように構成する必要がありますか?
Bluemix Secure Gateway サービスの場合、データ・センターのネットワークをどのように構成する必要がありますか?
以下の Bluemix Doc は、アウトバウンド 443 が必要であることを示しています。
https://www.ng.bluemix.net/docs/troubleshoot/SecureGateway/ts_index-gentopic1.html#ts_sg_006
Secure Gateway クライアントを実行するためのベスト プラクティスは何ですか?
環境に Docker クライアントをインストールする前に、インターネットとオンプレミスのアセットの両方にアクセスできること、およびすべてのホスト名が DNS によって解決できることを確認してください。クライアントはアウトバウンド ポート 443 を使用して IBM Bluemix 環境に接続します。通常、このポートは安全であるため開いています。適用される可能性のある追加のファイアウォールおよび IP テーブル ルールを確認または変更してください。
しかし、「docker run -it ibmcom/secure-gateway-client XXXX」を実行したときに取得した tcpdump は、SG クライアントが Outbound 443 と 9000 を使用していることを示していました。 ?
ibm-cloud - セキュリティ トークンを使用してセキュア ゲートウェイ クライアントを起動するにはどうすればよいですか?
トークンをパラメーターとして受け取る secure-gateway-client コンテナーを開始する方法はありますか?
対話的に行うのではなく、「docker -d」オプションを使用してバックグラウンドでコンテナーを開始したいと考えています。
次のようにコンテナを起動してみました:
docker run -d ibmcom/secure-gateway-client
しかし、トークンを指定する必要があることを示す 401 エラーがログに記録されます。
ibm-cloud - セキュア ゲートウェイ サービスをアプリにバインドする必要はありますか?
以下の文書を見ました。
https://www.ng.bluemix.net/docs/services/SecureGateway/index.html#sg_overview
最後の方の要約には、「サービスをプロビジョニングしてアプリにバインドする」と書かれています。しかし、セキュア ゲートウェイ サービスを自分のアプリにバインドする必要は本当にあるのでしょうか? サービスをバインドせずに、セキュア ゲートウェイの宛先にアクセスできました。