CENM1.2リリースノート
--
____________________________________________________
<お知らせ>
SBI R3 Japanブログは、MediumからSBI R3 Japanのポータルサイトに引っ越ししました。引っ越し先で、mediumの過去記事も閲覧可能です。今までとは異なる新しいコンテンツも発信してまいりますので、お気に入り登録をぜひお願いします!
____________________________________________________
Corda Enterprise Network Managerの新しいバージョンである1.2がリリースされました。今回は、リリースノートの全文訳を掲載いたします。
主な機能
DockerおよびKubernetesのサポートDockerのサポート をCorda Enterprise Network Managerに拡張しています。
さらに、HelmとKubernetesを使用した最初のリファレンスデプロイを導入しています。一時的な代表的なテストネットワークを数分で構築できます。これで開発のサイクルの短縮が期待できます。
詳細はKubernetes deployment documentationを参照してください。
サードパーティCAのサポート
サードパーティのソフトウェアまたはサービスプロバイダーを使用して、Cordaネットワークでサポートされる証明書とネットワークサービスの署名イベントのライフサイクルを処理したい顧客のために、Signing Serviceは、Signable Material Retriever Service(SMR)とCENM Signing Serviceに分けました。プラガブルなインターフェースを提供します。
新しいサービス(SMR)は、Identity ManagerおよびNetwork Map Serviceから署名可能なマテリアルを抽出し、署名をプラグインに委任します。顧客は独自のプラグインを実装して、外部署名インフラストラクチャと統合し、署名された資料をSMRに返して、関連するCENMサービスに渡すことができます。
詳細はSigning Servicesをご参照してください。オープンソースのCA実装のサンプルについては、 EJBCA Sample Pluginをご参照してください。
CRL Endpoint Check tool
TLS接続に問題がある場合の診断支援として、CENM 1.2はCRL Endpoint Check toolを導入しています。このスタンドアロンツールを通して、提供されたキーストア内のすべての証明書のCRLエンドポイントの状態をチェックできます。これは、証明書からCRLエンドポイントを個別に手動で抽出して検証するよりも簡単な方法です。
CRL Endpoint Check Toolで使用方法や詳細についてご確認ください。
マイナー機能
アシストノード(Assisted Node)登録
CordaとNetwork Managerの両方に新しいフィールドを導入しました。これを使用して、ノードの証明書署名要求の前後に開始される様々なオンボーディングワークフローを有効にすることができます。そうすることで、ネットワークオペレーターは、大規模なオンボーディングワークフローの一部としてノード登録プロセスを埋め込むか、単にCSRを確認して証明書を発行するプロセスをスピードアップまたは自動化させることができます。この機能には、CordaまたはCorda Enterprise 4.4以上のノードが必要です。
バンドルサービス(Bundled Service)
サービスを個別にデプロイすることは、大規模な本番デプロイでは理にかなっていますが、小規模なデプロイやテストの目的では、1つのJarファイルで複数のサービスを並行して実行できるバンドルサービスがあります。ユーザーは、実行するサービスと対応するconfファイルを指定する必要があります。この機能をconfファイルから抜くことで、CENM 1.1と互換性を持たせることが可能です。
ノータリーホワイトリスト
高可用性(HA)ノータリーの場合のみ、Network Mapは、ファイルを手動でコピーする必要がなく、Identity Managerからノード情報を自動的にフェッチするようになりました。HA以外のノータリーのサポートは想定されていません。すべてのノータリーを高可用性構成で構築することをお勧めします。
その他の改善
- HSMサポートリストにAWS Cloud HSMを追加しました。
- デフォルトのログファイルパスには、サービスを生成するサービスの名前(「network-map」など)が含まれるようになりました。そのため、同じフォルダーから複数のサービスを実行しても、ダンプログのファイル名は衝突しません。
- Shellインターフェイス(SignerおよびIdentity Managerサービス)は、Javaスクリプト権限を提供しなくなりました。
- Private Network Mapの削除-この機能は完成されておらず、変更はユーザーに表示されるべきではありません。これはまだデータベーススキーマから削除されておらず、将来のリリースで提供される予定です。CENM 1.1から、関連するステージングノード情報テーブルは使用されません。
- データベースエラーのロギングを改善し、障害が発生するだけでなく、根本的な原因が報告されるようになります。
- ダンプログがサービス固有のフォルダーに書き込まれるようになったため、複数のサービスが同じディレクトリから実行されても、ログファイルは競合しません。
- CRaSHシェルから実行した場合のservice healthcheckコマンドを修正しました。
- 新しいコマンドをNetwork Mapシェルに追加して、特定のパラメーターの更新を受け入れた(または受けていない)ノードのリストを表示します( “view nodesAcceptedParametersUpdate accept:<true / false>、parametersHash:<parameters update hash value>”)。Updating the network parametersの手順を監視するのに役立ちます。
- CENMサービスの作業ディレクトリ引数を追加します。これは、configファイルと証明書ファイルのパスprefixです。
- Network Map Serviceシェルにrun networkParametersRegistration、run flagDay、 run cancelUpdateを追加し、サービスを再起動せずにrunning flagdaysの実行を有効にします。詳細はUpdating the network parameters をご参照してください。
- view publicNetworkNodeInfosコマンドをNetwork Map Serviceシェルに追加し、プラットフォームバージョンを含むすべてのパブリックネットワーク参加者のノード情報を表示できるようにしました。
- バグ修正:Cordaネットワークルールに従って発行中に証明書名ルールが適用されるようになりました。以前は、ノードが使用できない名前でノードを登録することが可能でした。
- Registration Web Service(CSRおよびCRL)は、無効なクライアントバージョンまたはプラットフォームバージョンのリクエストに対して、400ではなく誤ったHTTPエラーコード500を返していました。
- Registration Web Serviceによって作成されたログの改善-リクエスト検証例外(サブジェクト名の無効な文字、無効なプラットフォームバージョンなど)が、ERRORレベルではなくWARNレベルでログに記録されるようになりました。
- バグ修正:H2データベースでのみ使用されていた構成オプション ‘database.initialiseSchema’は非推奨になりました。代わりに ‘database.runMigration’を使用してください。
セキュリティの改善
- シェルインターフェイス(SignerおよびIdentity Managerサービス)は、Javaのスクリプトを許可するコマンドへのアクセスを許可しなくなりました。
既知の問題点
- Identity ManagerのWorkflowPluginは、リクエストが拒否または承認されるまで、外部システムで新しい要求を作成しようとし続けます。これは、外部システムが現在処理中のリクエストを内部的に記録し、不必要な試行を拒否する必要があることを意味します。Identity ManagerサービスはこれをWarningとしてログに記録します。
以下に本記事に関連する内容のリンクを貼り付けておきます。
興味がある方は、是非ご覧になってください。