Corda Enterprise Network Manager1.2のリリースノートの翻訳文を掲載いたします。
原文はこちらよりご確認ください。
Corda Enterprise Network Manager 1.2.6
CENM 1.2.6 では、Apache Log4j 2 の依存関係に起因する緊急のセキュリティ問題を修正しました。この修正では、Log4j の依存関係がバージョン v2.17.1 に更新されています。
修正された問題
Log4j の依存関係がバージョン 2.17.1 に更新され、既存の Log4j の問題が修正されました。
Corda Enterprise Network Manager 1.2.5
CENM 1.2.5 では、Apache Log4j 2 の依存関係に起因する緊急のセキュリティ問題 - CVE-2021-44228 - を修正しました。この修正では、Log4j 依存関係をバージョン 2.16.0 に更新しています。
修正された問題
CVE-2021-44228 を緩和するために、Log4j の依存関係をバージョン 2.16.0 に更新しています。
※Corda Enterprise Network Manager 1.2.4の公式リリースはありません。
Corda Enterprise Network Manager 1.2.3
修正された問題
- CENMで許可される証明書のシリアル番号の最大長が28桁(データベースのNUMBER(28)形式)であり、約93ビットのデータが含まれていた問題を修正した。SwissPKIなどのサードパーティ認証機関のサポート(CENM 1.2で導入)を拡張するために、Identity Managerサービスは、RFC 5280に準拠するために、最大20オクテット/バイト(160ビット)のサイズの証明書のシリアル番号を扱えるようになった。さらに、PKIツールは、最大16オクテット/バイトのシリアル番号サイズの証明書を生成するようになった。
- 複数のパーティションでsecurosys HSM使用している場合、PKIツールがエラーを投げる問題を修正しました。
Corda Enterprise Network Manager 1.2.2
修正された問題
- ノード登録の一部としてcsr_tokenを使用すると、Identity ManagerがサポートされるバージョンのOracle DBを使用するように設定されている場合に登録に失敗するという問題があります。
- CENM 0.4からのアップグレードで、既存の失効した証明書に失効理由がない場合、CRLの作成と署名に失敗します。
Corda Enterprise Network Manager 1.2
主な新機能
DockerとKubernetesのサポートCorda Enterprise Network ManagerにDockerのサポートを拡大します。さらに、HelmとKubernetesを使った初のリファレンスデプロイメントを紹介します。これにより、お客様の開発サイクルを補完するための一時的な代表テストネットワークを数分でデプロイすることが可能になります。詳細はこちらのページをご覧ください。また、オープンソースのCA実装のサンプルについてはこちらのページをご覧ください。
サードパーティCAをサポート
Cordaネットワークにおける証明書とネットワークサービスの署名イベントのサポートされたライフサイクルを処理するためにサードパーティのソフトウェアまたはサービスプロバイダを使用することを望むクライアントを満足させるために、署名サービスは、プラグ可能なインタフェースを提供するために、署名可能材料リトリバサービス(SMR)とCENM署名サービスに分離されています。詳細はこちらのページをご覧ください。
CRLエンドポイントチェックツール
TLS 接続に問題がある場合の診断補助として、CENM 1.2 では CRL Endpoint Check ツールを導入しています。このスタンドアローンツールは、提供されたキーストア内のすべての証明書のCRLエンドポイントの健全性をチェックし、証明書から個別にCRLエンドポイントを手動で抽出し、それらを検証するよりも簡単な代替手段となります。詳細はこちらのページをご覧ください。
マイナーな機能
ノード登録のアシスト
CordaとNetwork Managerの両方で、ノードのCertificate Signing Requestの前に始まり、後に続くかもしれない様々なオンボーディングワークフローを可能にするために使用することができる新しいフィールドを導入しました。これにより、ネットワークオペレータは、ノード登録プロセスをより大きなオンボーディングワークフローの一部として組み込むことができ、また単にCSRをレビューして証明書を発行するプロセスを高速化/自動化することができます。この機能はCordaまたはCorda Enterprise 4.4以上のノードが必要です。
バンドルサービス
小規模なデプロイメントやテスト目的には、1つのJarファイルから複数のサービスを並行して実行する可能性を導入しています。これをBundled Serviceと呼びます。ユーザは、実行するサービスとそれに対応する設定ファイルを指定する必要があります。この機能はCENM 1.1との後方互換性があり、設定ファイルからサービスを省くことも可能です。
Notaryのホワイトリスト
高可用性(HA)公証人のみ、ネットワークマップがIDマネージャから自動的にノード情報を取得するようになり、ファイルを手動でコピーする必要がなくなりました。非 HA ノータリーのサポートは予定されていませんので、お客様はすべてのノータリーを高可用性構成で展開することを推奨します。
その他の改善点
- AWS Cloud HSMを含む、HSMのサポートリストを拡張しました。
- デフォルトのログファイルのパスに、ログファイルを生成するサービス名(例:"network-map")を含めるようにしました。これにより、複数のサービスが同じフォルダから実行されても、それらのダンプログファイル名が衝突することはありません。
- シェルインターフェース(SignerおよびIdentity Managerサービス)は、Javaスクリプトのパーミッションを提供しないようになりました。
- プライベートネットワークマップの削除 - この機能は完成しておらず、変更はユーザーには見えないはずです。これはまだデータベーススキーマからそれらを削除しませんが、将来のリリースでは削除される予定です。関連する隔離ノード情報テーブルとステージングノード情報テーブルは、CENM 1.1 では使用されていません。
- データベースエラーのログを改善し、障害が発生したことだけを報告するのではなく、根本的な原因を報告するようにしました。
- ダンプログはサービス別のフォルダに書き込まれるようになり、複数のサービスが同じディレクトリから実行されても、ログファイルが衝突しないようになりました。
- CRaSH シェルから実行した場合の service healthcheck コマンドを修正しました。
- ネットワークマップシェルに、与えられたパラメータの更新を受け入れた(または受け入れなかった)ノードのリストを表示する新しいコマンドを追加しました。("view nodesAcceptedParametersUpdate accepted: <true/false>, parametersHash: ") ネットワークパラメータの更新手順を監視するのに役立ちます。
- CENM サービスの作業ディレクトリ引数を追加。設定ファイルや証明書ファイルのパスプレフィックスとなる。
- Network Mapサービスのシェルにrun networkParametersRegistration、run flagDay、run cancelUpdateコマンドを追加し、サービスを再起動せずに旗日を実行できるようにします。詳細については、ネットワークパラメータの更新を参照してください。
- Network Map サービスシェルに view publicNetworkNodeInfos コマンドを追加し、すべてのパブリックネットワーク参加者のノード情報(プラットフォームバージョンを含む)を表示できるようにしました。
- 証明書の名前ルールはCordaのネットワークルールに従って発行時に強制されるようになりました。以前はノードが使用できない名前でノードを登録することが可能でした。
- 登録Webサービス(CSRとCRL)が、無効なクライアントバージョンまたはプラットフォームバージョンを持つリクエストに対して、400ではなく、不正なHTTPエラーコード500を返していました。
- 登録Webサービスによって作成されるログの改善 - リクエスト検証例外(例:件名に無効な文字がある、プラットフォームのバージョンが無効)は、ERRORレベルではなくWARNレベルでログに記録されるようになりました。
- H2データベースのみに使用されていた設定オプション 'database.initialiseSchema' は非推奨となり、代わりに 'database.runMigration' を使用するようになりました。
セキュリティの向上
シェルインターフェース(SignerおよびIdentity Managerサービス)では、Javaのスクリプトを許可するコマンドにアクセスできなくなりました。
既知の問題点
Identity Manager の WorkflowPlugin は、要求が"REJECTED" または"APPROVED"になるまで、外部システムで新 しい要求を作成しようとし続けます。これは、外部システムが、現在処理されている要求を内部的に記録し、余剰の作成試行を拒否する必要があることを意味します。Identity Manager サービスは、このことを警告としてログに記録します。 Warning: “There is already a ticket: ‘’ corresponding to Request ID = , not creating a new one.”
Last edited by Yoshino