Deep Securityの暗号化アルゴリズムのアップグレード

Deep Security 9.6 SP1以前のバージョンでは、Deep Security ManagerとDeep Security Agentの間の通信はRSA-1024とSHA-1を使用して保護されます。Deep Security 10.0では、より安全なアルゴリズムであるRSA-2048とDSA-256が初期設定で使用されます。

Deep Security 10.0を新規にインストールした場合はRSA-2048とDSA-256が使用されますが、以前のバージョンからDeep Security 10.0にアップグレードした場合は、暗号化アルゴリズムを別途アップグレードしないかぎり以前のアルゴリズムが引き続き使用されます。

ここでは、Deep Security 10.0へのアップグレード後にアルゴリズムをアップグレードする方法について説明します。下記の手順に従って設定を変更すると、Deep Security Managerによって、Manager自体と管理下のすべてのAgent用に新しい証明書が生成されます。生成された新しい証明書は、その後AgentがDeep Security Managerに接続したときにManagerからAgentに送信されます。

Windowsでアルゴリズムをアップグレードする

  1. Microsoft管理コンソールの [サービス] 画面を使用して「Trend Micro Deep Security Manager」サービスを停止します。
  2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダ (例: C:\Program Files\Trend Micro\Deep Security Manager) に移動します。
  3. dsm_cコマンドとパラメータを使用して、新しい設定に変更します。次に例を示します。

    dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"

    dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"

    dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"

  4. エラーが表示されないことを確認し、Trend Micro Deep Security Managerサービスを再起動します。

Linuxでアルゴリズムをアップグレードする

  1. コマンドラインで、Deep Security Managerサービスが実行されているディレクトリに移動し、次のコマンドを実行してサービスを停止します。

    service dsm_s stop

  2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダ (例: C:\Program Files\Trend Micro\Deep Security Manager) に移動します。
  3. dsm_cコマンドとパラメータを使用して、新しい設定に変更します。次に例を示します。

    dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"

    dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"

    dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"

  4. エラーが表示されないことを確認し、Trend Micro Deep Security Managerサービスを再起動します。

複数ノード環境でアルゴリズムをアップグレードする

複数のノードでDeep Security Managerを実行している場合は、いずれかのノードでdsm_cコマンド (上記を参照) を実行し、次に他の各ノードで手動で「Trend Micro Deep Security Manager」サービスを再起動して変更を反映します。

マルチテナント環境でアルゴリズムをアップグレードする

Deep Security 10.0では、アルゴリズムはテナントごとに設定されています。そのため、dsm_cコマンドでテナント名 (-tenantnameを使用) またはテナントID (-tenantidを使用) を指定して、各テナントについて個別に設定をアップデートする必要があります。テナントIDが5のテナントの設定を変更する例を次に示します。

dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA" -tenantid 5

dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048" -tenantid 5

dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true" -tenantid 5