2014 年 2 月 6 日 (改訂日:2014 年 2 月 28 日) ※改訂履歴は最終ページに記載 お客様各位 株式会社セゾン情報システムズ HULFT 事業部 HDC-EDI Base Web/deTradeII クライアントへの Java 7 Update 51 の適用について HDC-EDI Base Web/deTradeII クライアントに Java7 Update51 を適用することにより、正常に動作しなくなる事 象が発生しておりますので、ご報告いたします。 - 記 - 1. 対象バージョン Java 7 対応の以下のバージョンが対象となります。 ・HDC-EDI Base E2X,B2B v3.9.0 同梱モジュール 以降 ・HDC-EDI Base E2X,B2B v4.0.0 同梱モジュール 2. ご報告事項 オラクル社が 2014 年 1 月 14 日から提供している Java 7 Update 51 を適用することにより、Applet を利用し た HDC-EDI Base Web/deTradeII クライアントにて正常に動作しなくなる事象が発生しております。 3. 回避方法 発生事象と回避方法につきましては別紙を参照の上、ご対応をお願いいたします。 以上 【改訂履歴】 2014/02/28 回避方法を追加しました。 Saison Information Systems CO.,LTD. HDC-EDI Base Web/deTradeⅡ 送受信機能起動時における Java7のセキュリティ警告とその回避策について 2014/02 版 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. はじめに HDC-EDI Base Web/deTradeⅡ は、Webベースのファイル転送システムです。 HDC-EDI Base Web/deTradeⅡ クライアントの送受信機能は、Javaアプレットを使って実 ⾏しています。 本資料は、JRE7の環境下でHDC-EDI Base Web/deTradeⅡの送受信機能を起動した際に表 ⽰される「Javaセキュリティ警告」について、発⽣条件、タイミング、そして、回避策(警 告画⾯を⾮表⽰とする⽅法)を解説しています。警告内容にあわせ、本資料にある回避策の適 ⽤をお願い致します。 なお、本資料が対象するJREとHDC-EDI Base Web/deTradeⅡのバージョンは以下のとおり です。 対象 バージョン Java実⾏環境 JRE 7 HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E2X,B2B v3.9.0 同梱モジュール 〜 HDC-EDI Base E2X,B2B v4.0.0 同梱モジュール ※JREのバージョンによって警告メッセージが異なります。 ※JRE7はv3.9.0からサポートし、それ以前は未サポートとなります。 免責事項 本資料は、2014年2⽉時点で弊社が保有している情報で作成されています。 本資料にある回避策は、今後のOracle社の改版などによっては恒久な対策にはならない場合がございま すので予めご了承下さい。 本資料で使⽤している警告画⾯や警告⽂⾔は、Windows 8 Enterprise、IE 10の環境でHDC-EDI Base 4.0同梱のHDC-EDI Base Web/deTradeⅡを使⽤し検証したものです。 Windows OSやIEのバージョンによって、警告画⾯、警告⽂⾔が若⼲異なりますのでご注意下さい。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 1 Javaセキュリティ警告のパターンと回避策 Javaセキュリティ警告のパターン⼀覧 表⽰される警告プロンプト 警告が表⽰される JREのバージョン ① JRE 7u51固有の警告 (アプリケーションブロック または警告無しの送受信エラー発⽣) JRE 7u51 ② Java Update確認 JRE 7u10〜7u45 ③ アプリケーション実⾏確認 JRE 7すべてのバージョン ④ ブロック要否確認 JRE 7u21 警告 ①〜④の警告に対する回避策 サーバー環境への対応(どちらも対応必須) (1)送受信Appletモジュールにマニフェストを追記する (2)DAL社の⾃⼰証明書と公的(信頼された認証局の)証明書で再署名する クライアント環境への対応(どちらも対応必須) (3)JREバージョンを(2014年2⽉現在最新である)JRE 7u51にする (4)画⾯URLを例外サイト・リストに登録する ※なお (4)はJRE 7u51使⽤時の緊急回避策という位置づけ。サーバー環境への対応(1)(2)の両⽅が対応済みなら不要 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 2 Javaセキュリティ警告の出⼒フロー JRE 7u51を使⽤する場合 JRE 7u25〜45 JRE 7u21 〜JRE 7u10 送受信⼀覧画⾯にて「送信」または「受信」ボタンをクリック 操作ケース1,2(スライド4)および3,4(スライド5)を参照 ①JRE 7u51固有警告 ②Java Update確認 スライド7参照 Javaコントロール・パネル設定にて 例外サイト・リストへ登録 スライド14参照 スライド8参照 「後で」を選択 スライド8参照 「後で」を選択 スライド8参照 「後で」を選択 スライド8参照 ③アプリケーション実⾏確認 スライド9参照 送受信ダイアログにて「送信開始」または「受信開始」ボタンをクリック 操作ケース5,6 (スライド6)を参照 既知の問題 スライド12・13参照 ④ブロック要否確認 スライド10参照 送受信が正常に⾏われる All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 送受信が正常に⾏われる 3 警告が発⽣する送受信機能の操作(ケース1、2) ケース1 【画面識別】 [ファイル転送業務]パネル [受信一覧] [未受信ファイル一覧] 【操作】 [受信]ボタンをクリック時 ケース2 【画面識別】 [ファイル転送業務]パネル [受信一覧] [未受信トランザクション一覧] 【操作】 [受信]ボタンをクリック時 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 4 警告が発⽣する送受信機能の操作(ケース3、4) ケース3 【画面識別】 [ファイル転送パネル] [再受信一覧] [再受信トランザクション一覧] 【操作】 [再受信]ボタンをクリック時 ケース4 【画面識別】 [ファイル転送パネル] [送信一覧] [送信ファイル一覧] 【操作】 [送信]ボタンをクリック時 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 5 警告が発⽣する送受信機能操作(ケース5、6) ケース5 【画面識別】 [受信先ファイル選択] 【操作】 [受信開始]をクリック時 ケース6 【画面識別】 [送信先ファイル選択] 【操作】 [送信開始]をクリック時 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 6 JRE 7u51固有のセキュリティ警告 警告画⾯ 発⽣条件 JRE 7u51を使⽤ 発⽣タイミング • 前述のケース1〜4の送受信機能操作のい ずれかを⾏った時 【信頼できる認証局の証明書で署名されていない Javaアプリケーションの場合】 クライアント側の回避策 画⾯URLを例外サイト・リストに登録す る(変更⽅法は「付録1」を参照) サーバー側の回避策 「サーバ側におけるセキュリティ警告対 応策」を参照 【公的(信頼できる認証局)の証明書で署名した Javaアプリケーションの場合】 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 7 Java Update警告 警告画⾯ 発⽣条件 稼働しているJREが、最新バージョンの セキュリティ・ベースラインより低い JRE 7u10以降設けられたJREバージョ ンの有効期限切れ 発⽣タイミング • 前述のケース1〜4の送受信機能操作時 回避策 ※注意 本警告にて「後で」を選択すると、 ・「処理をブロックする警告」や、 ・「ブラウザ画⾯がフリーズする」 などの現象が発⽣する可能性があります。 詳細は「既知の問題」を参照して下さい。 2014年2⽉現在最新のJRE 7u51に バージョンアップ (補⾜)「Java Updateが必要」という警告は、JRE 7u10以降表⽰されます。 本警告の詳細はOracle社の以下のURLをご覧下さい。 http://www.java.com/ja/download/faq/expire_date.xm また、セキュリティ・ベースラインと有効期限の考え⽅は、本資料にある 「付録2」をご覧下さい。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 8 セキュリティ警告-アプリケーション実⾏ 警告画⾯ 発⽣条件 ① JRE7の全バージョン 発⽣タイミング • 前述のケース1〜4の送受信機能操作時 クライアント側の回避策 ①の警告が表⽰された場合 • 毎回「リスクを受け⼊れて、このアプリケーションを実 ⾏します(I)」に☑を⼊れ実⾏する ②の警告が表⽰された場合 【信頼できる認証局の証明書で署名されていない Javaアプリケーションの場合】 ② • 初回のみ「この発⾏者および前述の場所からのアプリケ ーションでは、次回から表⽰しない(D)」に☑を⼊れ実 ⾏する サーバー側の回避策 「サーバ側におけるセキュリティ警告対 応策」を参照※1 ※1:この回避策により②の警告は表⽰されますが、 ⻘い波線で囲われた警告⽂は表⽰されなくなります。 【公的(信頼できる認証局)の証明書で署名した Javaアプリケーションの場合】 本警告の詳細はOracle社の以下のURLをご覧下さい。 http://www.java.com/ja/download/help/appsecuritydialogs.xml All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 9 セキュリティ警告-ブロック要否確認 警告画⾯ 発⽣条件 JRE 7u21を使⽤ 発⽣タイミング • 前述のケース5・6の送受信機能操作時 クライアント側の回避策 Javaコントロール・パネルで、混合コ ードプログラムの処理設定を変更する 変更⼿順 • Javaコントロール・パネルを開き、 「詳細」タブを開く • 左図にある 「混合コード(サンドボックス内実⾏vs. 信頼済)セキュリティ検証する」の項⽬ で、「有効-警告を表⽰せずに、保護を かけて実⾏する」に☑する サーバー側の回避策 (補⾜)JRE 7u21より送受信Appletが混合コードと扱われています。 本警告の詳細はOracle社の以下のURLをご覧下さい。 http://www.java.com/ja/download/help/error_mixedcode.xml 「サーバ側におけるセキュリティ警告対 応策」を参照 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 10 サーバ側におけるセキュリティ警告対応策 事前準備 (1)「信頼された第三者認証局発⾏の証明書の⼊⼿」と「キーストアの作成」 すでにご購⼊済みで、送受信Appletへの署名変更がお済みの場合は不要です。署名時に使⽤したキーストアをご⽤意ください。 未購⼊の場合は新規にご購⼊いただき、キーストアを作成する必要があります。作成⽅法はHDC-EDI Base Web/deTradeⅡの同梱マニュアル 「DetradeCustomizeGuid.pdf」の”第7章 送受信Appletの署名変更”から”7-6.キーストアファイルへCA証明書をインポート”までを参照願います。 (2)セキュリティ警告対応モジュールの⼊⼿ ⼊⼿元)http://www.dal.co.jp/download/detrade/security_manifest.zip security_manifest.zipを解凍し、格納されているwsrapltとmanifestの存在をご確認ください。 アプレットモジュールの再署名(※注意 JDKインストール環境で実施すること) ⼿順① 作業フォルダを作成し、以下の4つのファイルを配置する 事前準備(1)のキーストア(コピーまたは移動でも可) 事前準備(2)のwsrapltおよびmanifest(コピーまたは移動でも可) 現在使⽤しているwsraplt.jar(送受信Appletモジュール) ([DETRADE2_CLIENT_HOME]/直下からコピーしてください コピー元例:[CATALINA_HOME]/webapps/detrade/wsraplt.jar) ⼿順② 作業フォルダに移動し送受信Appletのマニフェスト更新 > jar uvmf manifest wsraplt.jar ⼿順③ 送受信Appletに対してDAL社の⾃⼰証明書で再署名 JDK7の場合に下記警告が出⼒されることがありますが無視してください。 -tsaまたは-tsacertが指定されていないため、このjarにはタイムスタンプが付加さ れていません。タイムスタンプがないと、署名者証明書の有効期限(2056-11-28)後 または将来の失効日後に、ユーザーはこのjarを検証できない可能性があります。 > jarsigner –keystore [事前準備(2)のwsraplt] –storepass wsraplt wsraplt.jar wsraplt ⼿順④ 送受信Appletに対して第三者認証局の証明書で再署名(改⾏は無視し1⾏のコマンドで実⾏) ※URLは発⾏元認証局にご確認ください > jarsigner –keystore [事前準備(1)のキーストア] –storepass [事前準備(1)のキーストアのパスワード] –tsa [発⾏元認証局 のタイムスタンプ局URL※] wsraplt.jar [エイリアス名] ※事前準備(1)キーストア作成時に指定したエイリアス名です 再署名したアプレットモジュールの適⽤ WAS(Tomcat等)を停⽌後、再署名したwsraplt.jarを現在使⽤しているwsraplt.jarと差し替え、WASを再起動してください。 ※本対応により「JRE 7u51固有のセキュリティ警告」と「ブロック確認要否」のクライアント側回避策は不要になります。 また、「アプリケーション実⾏」の警告は「警告タイプ(②のキャプチャ)」が初回のみ出⼒されるようになります。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 11 既知の問題について① 「Java Update」警告画⾯で「後で」を選択した場合 Java Update警告画⾯で「後で」を選択し、送受信処理を進 めると以下の2つの現象が発⽣ • 送受信実⾏前にブロックされてしまう問題 • 送受信処理中にブラウザ画⾯がフリーズする問題 現象① 本来表⽰されるべき「送受 信ファイル選択画⾯」が表 ⽰されず、「アプリケー ションがブロックされまし た」という警告が表⽰ 現象② 「送受信ファイル選択画 ⾯」は表⽰されるが、送受 信処理を開始するとブラウ ザ画⾯がフリーズする All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 12 既知の問題について② 発⽣条件 以下の8パターンが考えられる。条件1〜条件4まではand条件 条件1 条件2 Java セキュ リティ レベル JRE 7u25 〜 7u45 を利⽤ Java セキュ リティ レベル 条件3 ⾮ 常 に ⾼ に 設 定 ⾼ に 設 定 JREの有効期限切れ セキュリティ・ベースライ ンを下回っている JREの有効期限切れ セキュリティ・ベースライ ンを下回っている 条件4 現象 送受信Appletが私的な証明書で証明済みの場合 現象① 送受信Appletが公的な証明書で署名済みの場合 現象② 送受信Appletが私的な証明書で証明済みの場合 現象① 送受信Appletが公的な証明書で署名済みの場合 現象② 送受信Appletが私的な証明書で証明済みの場合 現象① 送受信Appletが公的な証明書で署名済みの場合 現象② 送受信Appletが私的な証明書で証明済みの場合 現象① 送受信Appletが公的な証明書で署名済みの場合 現象② 回避策 JREのバージョンを最新にする(2014年2⽉現在 JRE 7u51が最新) All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 13 付録1 例外サイト・リストへの登録⼿順① (1)Javaコントロールパネルを開き「セキュリティタブ」クリック (2)「サイト・リストの編集」ボタンクリック (3)例外サイト・リストダイアログの「追加」ボタンクリック 本キャプチャはJRE7u51の デザインです。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 14 付録1 例外サイト・リストへの登録⼿順② (4)「場所」にdeTrade2クライアント画⾯URLを⼊⼒し「追加」ボタンクリック (5)警告ダイアログが出⼒されるので「続⾏」ボタンクリック (6)URLが設定されていることを確認し「OK」ボタンクリック URLがセットされた ことを確認 ⼿動で⼊⼒ 本キャプチャはJRE7u51の デザインです。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 15 付録1 例外サイト・リストへの登録⼿順③ (7)例外サイト・リストにURLが追加されていることを確認しコントロールパネ ルを閉じる リストにURLが登録 されたことを確認 本キャプチャはJRE7u51の デザインです。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 16 付録2 セキュリティ・ベースラインと有効期間 「セキュリティ・ベースライン」とは セキュリティ・ベースラインとは、Javaの最⼩推奨更新のラインを表します。 Javaのアップデート・バージョンがリリースされると、ベースラインが更新されることがあ ります。 2014年2⽉の最新バージョンはJRE 7u51です。セキュリティ・ベースラインは1.7.0_51と なります。現時点でのセキュリティ・ベースラインはJavaのリリースノートを参照して下さ い。 <Update Release Notes> http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html • 例えば、JRE 7u40を使⽤して送受信Applet機能を起動した場合、使⽤するJREのバージョンとセキュ リティベースライン 1.7.0_51を⽐較し、「下回っている」と判断します。 「有効期間」とは JRE 7u10以降のJREに、有効期限がハードコーディングされるようになりました。 http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html#jexpire セキュリティ警告との関係 JRE 7u10以降から「JREのセキュリティ・ベースラインを下回っている」または「JREの有 効期限が過ぎている」場合は、「Java Update」の警告プロンプトが表⽰されます。 尚、セキュリティ・ベースラインと有効期間のチェックの仕様は、Javaに依存します。 当社では詳細な仕様を把握することはできませんので、予めご了承下さい。 All Rights Reserved SAISON INFORMATION SYSTEMS CO.,LTD. 17
© Copyright 2024 ExpyDoc