2014 年 2 月 6 日 ( 改訂日 :2015 年 8 月 19 日 ) お客様各位 株式会社セゾン情報システムズ HULFT 事業部 HDC-EDI Base Web/deTradeII クライアントへの Java 7 Update 51 以降の適用について HDC-EDI Base Web/deTradeⅡクライアントに Java7 Update51 以降を適用することにより 正常に動作しなくなる事象が発生しておりますので ご報告いたします 1. 対象バージョン - 記 - 対象 バージョン Java 実行環境 JRE 7 HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E 2 X,B2B v3.9.0 同梱モジュール HDC-EDI Base E 2 X,B2B v3.9.1 同梱モジュール HDC-EDI Base E 2 X,B2B v4.0.0 同梱モジュール HDC-EDI Base E 2 X,B2B v4.1.0 同梱モジュール HDC-EDI Base E 2 X,B2B v4.2.0 同梱モジュール JRE7 のサポートは HDC-EDI Base シリーズバージョン 3.9.0 からです 対象 バージョン Java 実行環境 JRE 8 HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E 2 X,B2B v4.2.0 同梱モジュール JRE8 のサポートは HDC-EDI Base シリーズバージョン 4.2.0 からです 2. ご報告事項 JRE7, JRE8 の環境下で HDC-EDI Base Web/deTradeⅡの送受信機能を起動した際に表示される Java セキュリティ警告 の発生条件 タイミング そして 回避策 ( 警告画面を非表示とする方法 ) を解説しています 表示される警告内容にあわせ 回避策の適用をお願い致します
3. 回避方法 発生事象と回避方法につきましては別紙を参照の上 ご対応をお願い致します 上記内容にてご不明な点がありましたら 契約しているサポート窓口へお問い合わせください 以上 改訂履歴 日付 版数 改版内容 2014/2/6 1 版 1 版発行 2014/2/28 2 版 回避方法を追加しました 2014/8/8 3 版 HDC-EDI Base Ver.4.1.0 の情報を追加しました 2015/8/20 4 版 HDC-EDI Base Ver.4.2.0 と Java8 の情報を追加しました 免責事項 本資料は 2015 年 7 月時点で弊社が保有している情報で作成されています 本資料にある回避策は 今後の Oracle 社の改版などによっては恒久な対策にはならない場合がございますので予め ご了承下さい 本資料で使用している警告画面や警告文言は Windows 7 Professional IE 10の環境で 対象バージョンの HDC-EDI Baseに同梱されているHDC-EDI Base Web/deTradeⅡを使用し 検証したものです Windows OSやIEのバージョンによって 警告画面 警告文言が若干異なりますのでご注意下さい
目次 はじめに... 2 Java 警告が表示されるクライアントの送受信機能操作... 3 Java7 をご利用の場合... 5 Java セキュリティ警告のパターン... 5 Java セキュリティ警告の出力フロー... 6 Java セキュリティ警告別回避策... 7 1アプリケーションブロック 又は送受信エラー発生... 7 2Java Update 確認... 8 3アプリケーション実行確認... 9 4ブロック要否確認... 11 5アプリケーションへのアクセス許可... 12 サーバ側セキュリティ警告対応策... 13 クライアント側セキュリティ警告対応策... 15 既知の問題について... 17 Java8 をご利用の場合... 19 Java セキュリティ警告のパターン... 19 Java セキュリティ警告の出力フロー... 20 Java セキュリティ警告別回避策... 21 1Java Update 確認... 21 2アプリケーション実行確認... 22 3アプリケーションへのアクセス許可... 23 付録 : セキュリティ ベースラインと有効期間... 24
はじめに HDC-EDI Base Web/deTradeⅡは Webベースのファイル転送システムで EDIパッケージ HDC-EDI Baseシリーズ のオプション製品です HDC-EDI Base Web/deTradeⅡにあるクライアントの送受信機能は Javaアプレットを使って実行しています 本資料は JRE7 以上の環境下でHDC-EDI Base Web/deTradeⅡの送受信機能を起動した際に表示される Javaセキュリティ警告 の発生条件 タイミング そして 回避策 ( 警告画面を非表示とする方法 ) を解説しています 表示される警告内容にあわせ 回避策の適用をお願い致します 尚 対象となる JRE と HDC-EDI Base Web/deTradeⅡ のバージョンは以下のとおりです 対象 バージョン Java 実行環境 JRE 7 HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E 2 X,B2B v3.9.0 同梱モジュール HDC-EDI Base E 2 X,B2B v3.9.1 同梱モジュール HDC-EDI Base E 2 X,B2B v4.0.0 同梱モジュール HDC-EDI Base E 2 X,B2B v4.1.0 同梱モジュール HDC-EDI Base E 2 X,B2B v4.2.0 同梱モジュール JRE7 のサポートは HDC-EDI Base シリーズバージョン 3.9.0 からです 対象 バージョン Java 実行環境 JRE 8 HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E 2 X,B2B v4.2.0 同梱モジュール JRE8 のサポートは HDC-EDI Base シリーズバージョン 4.2.0 からです
Java 警告が表示されるクライアントの送受信機能操作 Java 警告が表示される HDC-EDI Base Web/deTradeII クライアントの送受信操作には 以下の操作画 面で表しているとおりケース 1 からケース 6 まであります ケース 1 ケース 2 ケース 3
ケース 4 ケース 5 ケース 6
Java7 をご利用の場合 Java セキュリティ警告のパターン HDC-EDI Base Web/deTradeIIクライアントの送受信機能で表示される警告プロンプトは JavaのバージョンとHDC-EDI Baseシリーズのバージョンによってパターンがあります 以下の表をご覧下さい 警 告 表示される警告プロンプト 警告が表示される JRE のバージョン HDC-EDI Base のバージョン 1 アプリケーションブロック 又は送受信エラー発生 JRE 7u51~7u80 3.9.0~4.0.0 2 Java Update 確認 JRE 7u10~7u80 3.9.0~4.2.0 3 アプリケーション実行確認 JRE 7 全て 3.9.0~4.2.0 4 ブロック要否確認 JRE 7u21 3.9.0~4.0.0 5 アプリケーションへのアクセス許可 JRE 7u55~7u80 3.9.0~4.2.0
Java セキュリティ警告の出力フロー JRE 7u79~80 JRE 7u55~76 JRE 7u51 JRE 7u25~45 JRE 7u21 ~JRE 7u10 送受信一覧画面にて 送信 または 受信 ボタンをクリック 操作ケース 1,2 および 3,4 を参照 (3 ページ参照 ) 1 セキュリティ警告 (7 ページ参照 ) 2Java Update 確認 (8 ページ参照 ) Java コントロール パネル設定にて 例外サイト リストへ登録 (15 ページ参照 ) 後で を選択 (8 ページ参 照 ) 後で を選択 (8 ページ参照 ) 3 アプリケーション実行確認 (9 ページ参照 ) 送受信ダイアログにて 送信開始 または 受信開始 ボタンをクリック 操作ケース 5,6 を参照 (4 ページ参照 ) 5 アクセス許可 (12 ページ参照 ) 4 ブロック要否確認 (11 ページ参照 ) 既知の問題 (17 ページ参照 ) 送受信が正常に行われる 送受信が正常に行われる
Java セキュリティ警告別回避策 1アプリケーションブロック 又は送受信エラー発生バージョン JRE 7U51~7U80 タイミングクライアント側の回避策サーバ側の回避策 操作ケース1~4の送受信機能のいずれかを行った時 P15のクライアント側セキュリティ警告対応策を実施 P13のサーバ側セキュリティ警告対応策を実施 又は HDC-EDI Baseのバージョンが4.0 以下の場合は バージョン4.1.0 以上にアップグレードする ( 注意 )HDC-EDI Base シリーズバージョン 4.1.0 以上では この警告は表示されません 表示されるダイアログ 信頼できる認証局の証明書で署名されていない Java アプリケーションの場合 公的 ( 信頼できる認証局 ) の証明書で署名した Java アプリケーションの場合
2Java Update 確認バージョン JRE 7U10~7U80 発生条件 タイミング 回避策 稼働しているJREのセキュリティ ベースラインが最新バージョンより低い JRE 7U10 以降設けられたJREバージョンの有効期限切れ操作ケース1~4の送受信機能のいずれかを行った時最新のJREにアップグレードする ( 補足 ) この警告の詳細は http://www.java.com/ja/download/faq/expire_date.xml をご確認下さい また セキュリティ ベースライン と 有効期限 の考え方は 本資料にあるP24の 付録: セキュリティ ベースラインと有効期間 をご覧下さい 表示されるダイアログ 注意 本警告にて 後で を選択すると 処理をブロックする警告 や ブラウザ画面がフリーズする といった既知の問題があります 詳細は P17 の 既知の問題について を参照して下さい
3アプリケーション実行確認バージョン JRE 7 全バージョン タイミング 操作ケース 1~4 の送受信機能のいずれかを行った時 警告が下図 1 1 の場合は リスクを受け入れて このアプリケーションを実行 します 2 に毎回 し実行します クライアント側の回避策サーバ側の回避策 警告が下図 2の場合は この発行者および前述の場所からのアプリケーションでは 次回から表示しない 2 に し実行します 警告が下図 3 3 の場合は 上記の発行者と場所からのアプリケーションについては 次回から表示しない 2 に し実行します 警告が下図 1または2の場合は P13のサーバ側セキュリティ警告対応策 4 を実施 又は HDC-EDI Baseのバージョンが4.0 以下の場合は バージョン4.1.0 以上にアップグレードする 表示されるダイアログ 1 信頼できる認証局の証明書で署名されていない Java アプリケーションの場合 2 公的 ( 信頼できる認証局 ) の証明書で署名した Java アプリケーションで かつ Ver4.0.0 以前の場合
3 公的 ( 信頼できる認証局 ) の証明書で署名した Java アプリケーションで かつ Ver4.1.0 以上の場合 1 Oracle 社によると 警告が表示される条件は Applet がロードされる際に表示されますが Applet がロードされる条件については 情報が公開されておりません 2 メッセージの内容は 使用する Java のバージョンによって異なる場合があります 3 HDC-EDI Base シリーズバージョン 4.1.0 以上では 上図 3の警告が表示されます 回避策は赤枠部分に をいれて実行します 4 この回避策により 上図 3の警告が表示されるようになります
4ブロック要否確認バージョン JRE 7U21 タイミングクライアント側の回避策サーバ側の回避策 操作ケース5 6の送受信機能のいずれかを行った時 Javaコントロール パネルで 混合コードプログラムの処理設定を変更する変更手順は以下を参照 P13のサーバ側セキュリティ警告対応策を実施 又は HDC-EDI Baseのバージョンが4.0 以下の場合は バージョン4.1.0 以上にアップグレードする ( 注意 )HDC-EDI Base シリーズバージョン 4.1.0 以上では この警告は表示されません Javaコントロール パネルでの変更手順 左図にある Javaコントロール パネル を開き 詳細 タブをクリック 混合コード( サンドボックス内実行 vs 信頼済 ) セキュリティを検証する の項目で 有効 警告を表示せずに 保護をかけて実行する に する ( 補足 )JRE 7U21より送受信 Appletが混合コードとして扱われます 詳細は Oracle 社のURLをご覧下さい http://www.java.com/ja/download/help/error_mixedcode.xml 表示されるダイアログ
5アプリケーションへのアクセス許可バージョン JRE 7U55~7U80 発生条件 タイミング 回避策 P13のサーバ側セキュリティ警告対応策が既に実施済操作ケース5 6の送受信機能のいずれかを行った時 このアプリケーションおよびWebサイトでは次回から表示しない に を入れ許可する 表示されるダイアログ 注意 本警告にて 許可しない を選択すると 送受信中にブラウザ画面がフリーズする 問題が発生します
サーバ側セキュリティ警告対応策 ~ 送受信アプレットの再署名 ~ 事前準備 (1) 信頼された第三者認証局発行の証明書の入手 と キーストアの作成 既に購入済みで 送受信 Applet への署名変更が済んでいる場合は不要です 署名時に使ったキーストアをご用意下さい 未購入の場合は新規に購入していただき キーストアを作成する必要があります 作成方法は HDC-EDI Base Web/deTradeⅡの同梱マニュアル DetradeCustomizeGuid.pdf の 第 7 章送受信 Applet の署名変更 から 7-6. キーストアファイルへ CA 証明書をインポート までをご覧下さい (2) セキュリティ警告対応モジュールの入手 入手元 )http://www.dal.co.jp/download/detrade/security_manifest.zip security_manifest.zip を解凍し 格納されている wsraplt と manifest の存在をご確認下さい アプレットモジュールの再署名 実施条件 外部 N/W 接続可能で かつ JDK インストール済み環境で実施すること 作業手順 手順 1 作業フォルダを作成し 以下の 4 つのファイルを配置する事前準備 (1) のキーストア ( コピーまたは移動でも可 ) 事前準備 (2) の wsraplt および manifest( コピーまたは移動でも可 ) 現在使用している wsraplt.jar( 送受信 Applet モジュール ) ([DETRADE2_CLIENT_HOME]/ 直下からコピーして下さいコピー元例 :[CATALINA_HOME]/webapps/detrade/wsraplt.jar) 手順 2 作業フォルダに移動し送受信 Applet のマニフェスト更新 > jar uvmf manifest wsraplt.jar 手順 3 送受信 Applet に対して DAL 社の自己証明書で再署名 > jarsigner -keystore [ 事前準備 (2) の wsraplt] -storepass wsraplt wsraplt.jar wsraplt ( 注意 )JDK7 の場合 以下の警告が出力されることがありますが無視して下さい -tsa または-tsacert が指定されていないため この jar にはタイムスタンプが付加されていません タイムスタンプがないと 署名者証明書の有効期限 (2056-11-28) 後または将来の失効日後に ユーザーはこの jar を検証できない可能性があります
手順 4 送受信 Applet に対して第三者認証局の証明書で再署名 改行は無視し 1 行のコマンドで実行 > jarsigner -keystore [ 事前準備 (1) のキーストア ] -storepass [ 事前準備 (1) のキーストアのパスワード ] -tsa [ 発行元認証局のタイムスタンプ局 URL 1 ] wsraplt.jar [ エイリアス名 2 ] 1 URL は発行元認証局にご確認下さい プロキシ経由で外部接続する場合は下記のパラメータを指定して下さい -J-Dhttp.proxyHost=[ プロキシサーバ ] -J-Dhttp.proxyPort=[ ポート番号 ] 2 事前準備 (1) キーストア作成時に指定したエイリアス名です 再署名したアプレットモジュールの適用 WAS(Tomcat 等 ) を停止後 再署名した wsraplt.jar を現在使用している wsraplt.jar と差し替え WAS を再起動して下さい 本対応により 1アプリケーションブロック 又は送受信エラー発生 と 4ブロック要否確認 警告におけるクライアント側回避策は不要になります また 3アプリケーション実行確認 の警告は 警告タイプ (3のキャプチャ ) が初回のみ出力されるようになります
クライアント側セキュリティ警告対応策 ~ 例外サイト リストへの登録 ~ 手順 ( 注意 ) 本手順は Ver.4.1.0 以上をお使いの場合 または サーバ側セキュリティ警告対応策が実施済みの場合は不要です サーバ側対応策実施までの緊急対応策という位置づけです (1)Java コントロール パネルを開き セキュリティタブ クリック (2) サイト リストの編集 ボタンクリック (3) 例外サイト リストダイアログの 追加 ボタンクリック 以下の画面キャプチャは JRE7U51 のデザインです (4) 場所 に detrade2 クライアント画面 URL を入力し 追加 ボタンクリック 手動で入力
(5) 警告ダイアログが出力されるので 続行 ボタンクリック URL がセットされたことを確認 (6)URL が設定されていることを確認し OK ボタンクリック (7) 例外サイト リストに URL が追加されていることを確認し Java コントロール パネルを閉じる
既知の問題について Java Update が必要 の警告画面で 後で を選択して送受信を進めると 2つの違うメッセージのダイアログが表示されます この2つのダイアログは さまざまな条件の組み合わせによって 表示がかわります 条件の組み合わせについて 以下の表を参考にして下さい 表示される 2 種のダイアログ 本来表示される 送受信ファイル選択画面 が出ずに アプリケーションがブロックされました という警告が表示 送受信ファイル選択画面 は表示されるが 送受信処理を開始するブラウザ画面がフリーズする HDC-EDI Base シリーズバージョン 4.1.0 以上は この現象のみ発生
発生条件の組み合わせ HDC-EDI Base シリーズバージョン 3.9.0~4.0.0 条件 1 条件 2 条件 3 現象 JRE 7u25 ~ 7u45 を利用 Java セキュリティレベル Java セキュリティレベル 非常に高に設定 高に設定 送受信 Applet が私的な証明書で証明済みの場合送受信 Applet が公的な証明書で証明済みの場合送受信 Applet が私的な証明書で証明済みの場合送受信 Applet が公的な証明書で証明済みの場合 現象 1 現象 2 現象 1 現象 2 HDC-EDI Base シリーズバージョン 4.1.0 以上 条件 1 条件 2 現象 JRE 7u25 Java セキュリティレベル 非常に高に設定 ~ 7u45 現象 2 を利用 Java セキュリティレベル 高に設定 回避策 Java 7 update 51 以上の JRE にアップグレードする 第 3.0 版までは Oracle 社の回答により JRE バージョンを最新にすることが有効な回避策としていました しかし その後 Oracle 社より 本問題が Java 7 update 25 で追加された機能による影響で発生するようになり Java 7 update 51 で発生しないように修正されたとの回答がありました 以上のことから 本問題を回避するには Java 7 update 51 以上の JRE を使用する必要があります
Java8 をご利用の場合 Java セキュリティ警告のパターン HDC-EDI Base Web/deTradeIIクライアントの送受信機能で表示される警告プロンプトは JavaのバージョンとHDC-EDI Baseシリーズのバージョンによってパターンがあります 以下の表をご覧下さい 警 告 表示される警告プロンプト 警告が表示される JRE のバージョン HDC-EDI Base のバージョン 1 Java Update 確認 JRE 8~8u45 4.2.0 2 アプリケーション実行確認 JRE 8 全て 4.2.0 3 アプリケーションへのアクセス許可 JRE 8u5~8u51 4.2.0
Java セキュリティ警告の出力フロー JRE 8u51 JRE 8u5~45 ~JRE 8 送受信一覧画面にて 送信 または 受信 ボタンをクリック 操作ケース 1,2 および 3,4 を参照 (3 ページ参照 ) 1Java Update 確認 (21 ページ参照 ) 後で を選択 (21 ページ参照 ) 2 アプリケーション実行確認 (22 ページ参照 ) 送受信ダイアログにて 送信開始 または 受信開始 ボタンをクリック 操作ケース 5,6 を参照 (4 ページ参照 ) 3 アクセス許可 (23 ページ参照 ) 送受信が正常に行われる
Java セキュリティ警告別回避策 1 Java Update 確認バージョン JRE 8~8U45 発生条件 タイミング 回避策 稼働しているJREのセキュリティ ベースラインが最新バージョンより低い JREバージョンの有効期限切れ操作ケース1~4の送受信機能のいずれかを行った時最新のJREにアップグレードする ( 補足 ) この警告の詳細は http://www.java.com/ja/download/faq/expire_date.xml をご確認下さい また セキュリティ ベースライン と 有効期限 の考え方は 本資料にあるP24の 付録: セキュリティ ベースラインと有効期間 をご覧下さい 表示されるダイアログ
2アプリケーション実行確認バージョン JRE 8 全バージョン タイミング 回避策 操作ケース 1~4 の送受信機能のいずれかを行った時 上記の発行者と場所からのアプリケーションについては 次回から表示しない に し実行します 表示されるダイアログ
3アプリケーションへのアクセス許可バージョン JRE 8U5~8U51 タイミング 回避策 操作ケース 5 6 の送受信機能のいずれかを行った時 このアプリケーションおよび Web サイトでは次回から表示しない に を入れ 許可する 表示されるダイアログ 注意 本警告にて 許可しない を選択すると 送受信中にブラウザ画面がフリーズする 問題が発生します
付録 : セキュリティ ベースラインと有効期間 セキュリティ ベースライン セキュリティ ベースラインとは Java の最小推奨更新のラインを表します Java のアップデート バージョンがリリースされると ベースラインが更新されることがあります 現時点の最新バージョンは JRE8u51 で セキュリティ ベースラインは Java8 では 1.8.0_51 となります 現時点でのセキュリティ ベースラインは Java のリリースノートを参照して下さい <Java8 Update Release Notes> http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html 例えば JRE 8u45 を使用して送受信 Applet 機能を起動した場合 使用する JRE のバージョンとセキュリティ ベースライン 1.8.0_51 を比較し 下回っている と判断します 有効期間 JRE 7u10 以降と JRE8 の JRE に 有効期限がハードコーディングされるようになりました http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html#jexpire Java8 については ハイライトを参照して下さい https://www.java.com/en/download/faq/release_changes.xml セキュリティ警告との関係 JRE 7u10 以降と JRE8 から JRE のセキュリティ ベースラインを下回っている または JRE の有効期限が過ぎている 場合は Java Update の警告プロンプトが表示されます 尚 セキュリティ ベースラインと有効期間のチェックの仕様は Java に依存します 当社では詳細な仕様を把握することはできませんので 予めご了承下さい