resources

2020年12月09日 – 勧告: CA証明書の有効期限切れ

 

対象バージョン:
Cache/Ensemble: 2017.1, 2017.2, 2018.1
InterSystems IRIS/IRIS for Health: すべてのバージョン
上記バージョンをベースとする HealthShare

対象プラットフォーム: すべて

[発生する問題]
cconsole.log または messages.log に、証明書有効期限切れに関する警告メッセージが出力されます。

[問題の詳細]
インターシステムズ製品に含まれる /dev/CACerts/AllCA.cer 内のいくつかのCA証明書が、2020年末で有効期限切れを迎えます。
上記対象バージョンでは、システムタスク ISC.FeatureTracker.SSL.Config がこの証明書を参照しており、その結果システムモニタによって「証明書有効期限切れに関する警告メッセージ」が、毎日午前11時およびサービス起動直後に以下のようなログ出力されます。

(IRISのログサンプル)

  • 12/02/20-11:00:25:869 (9968) 2 [Utility.Event] 6 SSL/TLS Certificate(s) expiring within 30 days. See messages.log for details.
  • 12/02/20-11:00:25:871 (9968) 1 [Utility.Event] Certificate 0 Issuer CN=Thawte Timestamping CA,OU=Thawte Certification,O=Thawte,L=Durbanville,ST=Western Cape,C=ZA (Subject CN=Thawte Timestamping CA,OU=Thawte Certification,O=Thawte,L=Durbanville,ST=Western Cape,C=ZA) expires in 29 days (2020-12-31).
  • 12/02/20-11:00:25:873 (9968) 0 [Utility.Event] Certificate 0 Issuer CN=Thawte Timestamping CA,OU=Thawte Certification,O=Thawte,L=Durbanville,ST=Western Cape,C=ZA in file C:\InterSystems\20201IRIS\dev\CAcerts\AllCA.cer used by configuration(s) SSL/TLS – “ISC.FeatureTracker.SSL.Config”
  • 12/02/20-11:00:25:875 (9968) 1 [Utility.Event] Certificate 0 Issuer emailAddress=personal-basic@thawte.com,CN=Thawte Personal Basic CA,OU=Certification Services Division,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA (Subject emailAddress=personal-basic@thawte.com,CN=Thawte Personal Basic CA,OU=Certification Services Division,O=Thawte Consulting,L=Cape Town,ST=Western Cape,C=ZA) expires in 29 days (2020-12-31).
  • 12/02/20-11:00:25:932 (9968) 0 [Utility.Event] Certificate 1 Issuer emailAddress=premium-server@thawte.com,CN=Thawte Premium Server CA,OU=Certification Services Division,O=Thawte Consulting cc,L=Cape Town,ST=Western Cape,C=ZA in file C:\InterSystems\20201IRIS\dev\CAcerts\AllCA.cer used by configuration(s) SSL/TLS – “ISC.FeatureTracker.SSL.Config”
  • 12/02/20-11:00:25:947 (9968) 0 [Utility.Event] Certificate 1 Issuer emailAddress=server-certs@thawte.com,CN=Thawte Server CA,OU=Certification Services Division,O=Thawte Consulting cc,L=Cape Town,ST=Western Cape,C=ZA in file C:\InterSystems\20201IRIS\dev\CAcerts\AllCA.cer used by configuration(s) SSL/TLS – “ISC.FeatureTracker.SSL.Config”

これら証明書の有効期限が切れても、製品システム および セキュリティ には何ら影響を及ぼしません。本現象の影響は「ログ上に警告メッセージが出力されること」のみとなります。このファイルはCache/Ensemble 2018.1.4 およびIRIS 2020.1 以降では使用されないようになっています。

[問題の回避方法]
/dev/CACerts/AllCA.cer を削除もしくはリネームしてください。
このcerファイルは、システムアップグレード時に再作成されるため、対象バージョンへアップグレードされた場合はあらためて削除もしくはリネームいただく必要があります。

Cache/Ensembleでは、同フォルダに ThawteCA.cer および VerSignCA.cer も含まれますが、これらcerファイルは本現象に影響しないため、削除の必要はございません。

もし、AllCA.cer および ThawteCA.cer をアプリケーションで使用されている場合は、インターシステムズカスタマーサポートセンターまでご連絡ください。

[解決方法]
今後リリースされる Cache/Ensemble 2018.1.5 および IRIS 2019.1.2, 2020.1.1 以降では、有効期限が延長された cerファイルに置き換わるため、本現象は発生しません。それらバージョンがリリースされるまでは、上記の回避方法を適用いただけますよう、ご協力をよろしくお願いします。