2014 年 2 月 6 日 ( 改訂日 :2014 年 2 月 28 日 ) 改訂履歴は最終ページに記載 お客様各位 株式会社セゾン情報システムズ HDC-EDI Base Web/deTradeII クライアントへの Java 7 Update 51 の適用について HULFT 事業部 HDC-EDI Base Web/deTradeII クライアントに Java7 Update51 を適用することにより 正常に動作しなくなる事 象が発生しておりますので ご報告いたします - 記 - 1. 対象バージョン Java 7 対応の以下のバージョンが対象となります HDC-EDI Base E2X,B2B v3.9.0 同梱モジュール以降 HDC-EDI Base E2X,B2B v4.0.0 同梱モジュール 2. ご報告事項 オラクル社が 2014 年 1 月 14 日から提供している Java 7 Update 51 を適用することにより Applet を利用し た HDC-EDI Base Web/deTradeII クライアントにて正常に動作しなくなる事象が発生しております 3. 回避方法 発生事象と回避方法につきましては別紙を参照の上 ご対応をお願いいたします 改訂履歴 2014/02/28 回避方法を追加しました 以上 Saison Information Systems CO.,LTD.
HDC-EDI Base Web/deTradeⅡ 送受信機能起動時における Java7 のセキュリティ警告とその回避策について 2014/02 版
はじめに HDC-EDI Base Web/deTradeⅡ は Web ベースのファイル転送システムです HDC-EDI Base Web/deTradeⅡ クライアントの送受信機能は Java アプレットを使って実 しています 本資料は JRE7 の環境下で HDC-EDI Base Web/deTradeⅡ の送受信機能を起動した際に表 される Java セキュリティ警告 について 発 条件 タイミング そして 回避策 ( 警告画 を 表 とする 法 ) を解説しています 警告内容にあわせ 本資料にある回避策の適 をお願い致します なお 本資料が対象する JRE と HDC-EDI Base Web/deTradeⅡ のバージョンは以下のとおりです 対象 バージョン Java 実 環境 JRE 7 JRE のバージョンによって警告メッセージが異なります HDC-EDI Base Web/deTradeⅡ HDC-EDI Base E 2 X,B2B v3.9.0 同梱モジュール HDC-EDI Base E 2 X,B2B v4.0.0 同梱モジュール JRE7 は v3.9.0 からサポートし それ以前は未サポートとなります 免責事項 本資料は 2014 年 2 時点で弊社が保有している情報で作成されています 本資料にある回避策は 今後の Oracle 社の改版などによっては恒久な対策にはならない場合がございますので予めご了承下さい 本資料で使 している警告画 や警告 は Windows 8 Enterprise IE 10 の環境で HDC-EDI Base 4.0 同梱の HDC-EDI Base Web/deTradeⅡ を使 し検証したものです Windows OS や IE のバージョンによって 警告画 警告 が若 異なりますのでご注意下さい 1
Java セキュリティ警告のパターンと回避策 Java セキュリティ警告のパターン 覧 警告 1 表 される警告プロンプト JRE 7u51 固有の警告 ( アプリケーションブロックまたは警告無しの送受信エラー発 ) 警告が表 される JRE のバージョン JRE 7u51 2 Java Update 確認 JRE 7u10 7u45 3 アプリケーション実 確認 JRE 7 すべてのバージョン 4 ブロック要否確認 JRE 7u21 1 4 の警告に対する回避策 サーバー環境への対応 ( どちらも対応必須 ) (1) 送受信 Applet モジュールにマニフェストを追記する (2)DAL 社の 証明書と公的 ( 信頼された認証局の ) 証明書で再署名する クライアント環境への対応 ( どちらも対応必須 ) (3)JREバージョンを(2014 年 2 現在最新である )JRE 7u51にする (4) 画 URLを例外サイト リストに登録する なお (4) は JRE 7u51 使 時の緊急回避策という位置づけ サーバー環境への対応 (1)(2) の両 が対応済みなら不要 2
Java セキュリティ警告の出 フロー JRE 7u51 を使 する場合 JRE 7u25 45 JRE 7u21 JRE 7u10 送受信 覧画 にて 送信 または 受信 ボタンをクリック操作ケース 1,2( スライド 4) および 3,4( スライド 5) を参照 1JRE 7u51 固有警告スライド 7 参照 2Java Update 確認スライド 8 参照 Javaコントロール パネル設定にて例外サイト リストへ登録スライド14 参照 後で を選択スライド 8 参照 後で を選択スライド 8 参照 後で を選択スライド 8 参照 3 アプリケーション実 確認スライド 9 参照 送受信ダイアログにて 送信開始 または 受信開始 ボタンをクリック操作ケース 5,6 ( スライド 6) を参照 既知の問題スライド 12 13 参照 4 ブロック要否確認スライド 10 参照 送受信が正常に われる 送受信が正常に われる 3
警告が発 する送受信機能の操作 ( ケース 1 2) ケース 1 画面識別 [ ファイル転送業務 ] パネル [ 受信一覧 ] [ 未受信ファイル一覧 ] 操作 [ 受信 ] ボタンをクリック時 ケース 2 画面識別 [ ファイル転送業務 ] パネル [ 受信一覧 ] [ 未受信トランザクション一覧 ] 操作 [ 受信 ] ボタンをクリック時 4
警告が発 する送受信機能の操作 ( ケース 3 4) ケース 3 画面識別 [ ファイル転送パネル ] [ 再受信一覧 ] [ 再受信トランザクション一覧 ] 操作 [ 再受信 ] ボタンをクリック時 ケース 4 画面識別 [ ファイル転送パネル ] [ 送信一覧 ] [ 送信ファイル一覧 ] 操作 [ 送信 ] ボタンをクリック時 5
警告が発 する送受信機能操作 ( ケース 5 6) ケース 5 画面識別 [ 受信先ファイル選択 ] 操作 [ 受信開始 ] をクリック時 ケース 6 画面識別 [ 送信先ファイル選択 ] 操作 [ 送信開始 ] をクリック時 6
JRE 7u51 固有のセキュリティ警告 警告画 信頼できる認証局の証明書で署名されていない Java アプリケーションの場合 発 条件 JRE 7u51を使 発 タイミング 前述のケース 1 4 の送受信機能操作のいずれかを った時 クライアント側の回避策 画 URL を例外サイト リストに登録する ( 変更 法は 付録 1 を参照 ) サーバー側の回避策 サーバ側におけるセキュリティ警告対応策 を参照 公的 ( 信頼できる認証局 ) の証明書で署名した Java アプリケーションの場合 7
Java Update 警告 警告画 発 条件 稼働しているJREが 最新バージョンのセキュリティ ベースラインより低い JRE 7u10 以降設けられたJREバージョンの有効期限切れ 発 タイミング 前述のケース 1 4 の送受信機能操作時 注意本警告にて 後で を選択すると 処理をブロックする警告 や ブラウザ画 がフリーズする などの現象が発 する可能性があります 詳細は 既知の問題 を参照して下さい 回避策 2014 年 2 現在最新の JRE 7u51 にバージョンアップ ( 補 ) Java Update が必要 という警告は JRE 7u10 以降表 されます 本警告の詳細は Oracle 社の以下の URL をご覧下さい http://www.java.com/ja/download/faq/expire_date.xm また セキュリティ ベースラインと有効期限の考え は 本資料にある 付録 2 をご覧下さい 8
セキュリティ警告 - アプリケーション実 警告画 1 発 条件 JRE7の全バージョン 発 タイミング 前述のケース 1 4 の送受信機能操作時 信頼できる認証局の証明書で署名されていない Java アプリケーションの場合 2 クライアント側の回避策 1 の警告が表 された場合 毎回 リスクを受け れて このアプリケーションを実 します (I) に を れ実 する 2 の警告が表 された場合 初回のみ この発 者および前述の場所からのアプリケーションでは 次回から表 しない (D) に を れ実 する サーバー側の回避策 サーバ側におけるセキュリティ警告対応策 を参照 1 1: この回避策により 2 の警告は表 されますが い波線で囲われた警告 は表 されなくなります 公的 ( 信頼できる認証局 ) の証明書で署名した Java アプリケーションの場合 本警告の詳細は Oracle 社の以下の URL をご覧下さい http://www.java.com/ja/download/help/appsecuritydialogs.xml 9
セキュリティ警告 - ブロック要否確認 警告画 発 条件 JRE 7u21を使 発 タイミング 前述のケース 5 6 の送受信機能操作時 クライアント側の回避策 Javaコントロール パネルで 混合コードプログラムの処理設定を変更する 変更 順 Javaコントロール パネルを開き 詳細 タブを開く 左図にある 混合コード( サンドボックス内実 vs. 信頼済 ) セキュリティ検証する の項 で 有効 - 警告を表 せずに 保護をかけて実 する に する ( 補 )JRE 7u21 より送受信 Applet が混合コードと扱われています 本警告の詳細は Oracle 社の以下の URL をご覧下さい http://www.java.com/ja/download/help/error_mixedcode.xml サーバー側の回避策 サーバ側におけるセキュリティ警告対応策 を参照 10
サーバ側におけるセキュリティ警告対応策 事前準備 (1) 信頼された第三者認証局発 の証明書の と キーストアの作成 すでにご購 済みで 送受信 Applet への署名変更がお済みの場合は不要です 署名時に使 したキーストアをご 意ください 未購 の場合は新規にご購 いただき キーストアを作成する必要があります 作成 法は HDC-EDI Base Web/deTradeⅡ の同梱マニュアル DetradeCustomizeGuid.pdf の 第 7 章送受信 Applet の署名変更 から 7-6. キーストアファイルへ CA 証明書をインポート までを参照願います (2) セキュリティ警告対応モジュールの 元 )http://www.dal.co.jp/download/detrade/security_manifest.zip security_manifest.zip を解凍し 格納されている wsraplt と manifest の存在をご確認ください アプレットモジュールの再署名 ( 注意 JDK インストール環境で実施すること ) 順 1 作業フォルダを作成し 以下の4つのファイルを配置する事前準備 (1) のキーストア ( コピーまたは移動でも可 ) 事前準備 (2) のwsrapltおよびmanifest( コピーまたは移動でも可 ) 現在使 しているwsraplt.jar( 送受信 Appletモジュール ) ([DETRADE2_CLIENT_HOME]/ 直下からコピーしてくださいコピー元例 :[CATALINA_HOME]/webapps/detrade/wsraplt.jar) 順 2 作業フォルダに移動し送受信 Applet のマニフェスト更新 > jar uvmf manifest wsraplt.jar 順 3 送受信 Applet に対して DAL 社の 証明書で再署名 > jarsigner keystore [ 事前準備 (2) の wsraplt] storepass wsraplt wsraplt.jar wsraplt 順 4 送受信 Applet に対して第三者認証局の証明書で再署名 ( 改 は無視し 1 のコマンドで実 ) 再署名したアプレットモジュールの適 JDK7 の場合に下記警告が出 されることがありますが無視してください -tsa または -tsacert が指定されていないため この jar にはタイムスタンプが付加されていません タイムスタンプがないと 署名者証明書の有効期限 (2056-11-28) 後または将来の失効日後に ユーザーはこの jar を検証できない可能性があります > jarsigner keystore [ 事前準備 (1) のキーストア ] storepass [ 事前準備 (1) のキーストアのパスワード ] tsa [ 発 元認証局のタイムスタンプ局 URL ] wsraplt.jar [ エイリアス名 ] 事前準備 (1) キーストア作成時に指定したエイリアス名です WAS(Tomcat 等 ) を停 後 再署名した wsraplt.jar を現在使 している wsraplt.jar と差し替え WAS を再起動してください 本対応により JRE 7u51 固有のセキュリティ警告 と ブロック確認要否 のクライアント側回避策は不要になります また アプリケーション実 の警告は 警告タイプ (2 のキャプチャ ) が初回のみ出 されるようになります URL は発 元認証局にご確認ください 11
既知の問題について 1 Java Update 警告画 で 後で を選択した場合 Java Update 警告画 で 後で を選択し 送受信処理を進めると以下の2つの現象が発 送受信実 前にブロックされてしまう問題 送受信処理中にブラウザ画 がフリーズする問題 現象 1 本来表 されるべき 送受信ファイル選択画 が表 されず アプリケーションがブロックされました という警告が表 現象 2 送受信ファイル選択画 は表 されるが 送受信処理を開始するとブラウザ画 がフリーズする 12
既知の問題について 2 発 条件 以下の 8 パターンが考えられる 条件 1 条件 4 までは and 条件 条件 1 条件 2 条件 3 条件 4 現象 JRE 7u25 7u45 を利 Java セキュリティレベル Java セキュリティレベル 常に に設定 に設定 JRE の有効期限切れ セキュリティ ベースラインを下回っている JRE の有効期限切れ セキュリティ ベースラインを下回っている 送受信 Appletが私的な証明書で証明済みの場合送受信 Appletが公的な証明書で署名済みの場合送受信 Appletが私的な証明書で証明済みの場合送受信 Appletが公的な証明書で署名済みの場合送受信 Appletが私的な証明書で証明済みの場合送受信 Appletが公的な証明書で署名済みの場合送受信 Appletが私的な証明書で証明済みの場合送受信 Appletが公的な証明書で署名済みの場合 現象 1 現象 2 現象 1 現象 2 現象 1 現象 2 現象 1 現象 2 回避策 JRE のバージョンを最新にする (2014 年 2 現在 JRE 7u51 が最新 ) 13
付録 1 例外サイト リストへの登録 順 1 (1)Javaコントロールパネルを開き セキュリティタブ クリック (2) サイト リストの編集 ボタンクリック (3) 例外サイト リストダイアログの 追加 ボタンクリック 本キャプチャは JRE7u51 のデザインです 14
付録 1 例外サイト リストへの登録 順 2 (4) 場所 にdeTrade2クライアント画 URLを し 追加 ボタンクリック (5) 警告ダイアログが出 されるので 続 ボタンクリック (6)URLが設定されていることを確認し OK ボタンクリック 動で URL がセットされたことを確認 本キャプチャは JRE7u51 のデザインです 15
付録 1 例外サイト リストへの登録 順 3 (7) 例外サイト リストに URL が追加されていることを確認しコントロールパネルを閉じる リストに URL が登録されたことを確認 本キャプチャは JRE7u51 のデザインです 16
付録 2 セキュリティ ベースラインと有効期間 セキュリティ ベースライン とは セキュリティ ベースラインとは Javaの最 推奨更新のラインを表します Javaのアップデート バージョンがリリースされると ベースラインが更新されることがあります 2014 年 2 の最新バージョンはJRE 7u51です セキュリティ ベースラインは1.7.0_51となります 現時点でのセキュリティ ベースラインはJavaのリリースノートを参照して下さい <Update Release Notes> http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html 例えば JRE 7u40を使 して送受信 Applet 機能を起動した場合 使 するJREのバージョンとセキュリティベースライン 1.7.0_51を 較し 下回っている と判断します 有効期間 とは JRE 7u10 以降の JRE に 有効期限がハードコーディングされるようになりました http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html#jexpire セキュリティ警告との関係 JRE 7u10 以降から JRE のセキュリティ ベースラインを下回っている または JRE の有効期限が過ぎている 場合は Java Update の警告プロンプトが表 されます 尚 セキュリティ ベースラインと有効期間のチェックの仕様は Java に依存します 当社では詳細な仕様を把握することはできませんので 予めご了承下さい 17