Deep Security AWSのクイックスタートデプロイ用のロードバランサ証明書のアップデート

通常は、自己署名証明書を使用してサーバに接続しようとするたびに、ブラウザで証明書検証エラーが表示されます。これは、自己署名証明書を使用すると、ブラウザが信頼できるサードパーティの認証局 (CA) を使用して証明書の署名を自動的に検証できず、その証明書が攻撃者によって送信されたものであるかどうかを判断できないために発生します。インストール直後のDeep Security Managerは、HTTPS接続 (SSLまたはTLS) に自己署名証明書を使用するように設定されます。そのため、接続を保護するために使用されるサーバ証明書のフィンガープリントがDeep Securityサーバに属していることを手動で確認する必要があります。これは、CAが署名した証明書で自己署名証明書を置き換えるまでは正常な動作です。

Elastic Load Balancing (ELB) ロードバランサがブラウザに自己署名証明書を提示した場合も同じエラーが発生します。

自己署名証明書エラー

警告を無視して続行すればDeep Security Managerにアクセスできます (ブラウザによって方法は異なります)。ただし、次のいずれかを行わないと、接続するたびにこのエラーが発生します。

  • コンピュータの信頼できる証明書のストアに証明書を追加する (非推奨) または
  • 信頼できるCAが署名した証明書でロードバランサの証明書を置き換える (強く推奨)
  1. すべてのHTTPSクライアントによって信頼されているCAに、管理者、Relay、およびAgentがDeep Security Managerへの接続に使用する完全修飾ドメイン名を登録します (IPアドレスではありません)。

    deepsecurity.example.comのように、Deep Security Managerを一意に識別するサブドメインを指定します。SSLターミネータロードバランサの背後にあるノードの場合、この証明書は各Deep Security Managerノードによってではなく、ロードバランサによってブラウザおよびその他のHTTPSクライアントに提示されます。

    CAが証明書に署名した後、(公開鍵付きの) 証明書と秘密鍵の両方をダウンロードします。

    秘密鍵をセキュアな方法で保存して送信します。ファイルのアクセス権権や暗号化されていない接続が原因で第三者が秘密鍵にアクセスできる状態になっている場合、証明書と鍵によって保護されているすべての接続でセキュリティが低下します。そのような場合は証明書を失効させて鍵を削除し、新しい証明書と鍵を取得する必要があります。
  2. 証明書ストアに証明書を追加します (証明書に署名したCAがローカルコンピュータで信頼されている場合は省略可能)。
  3. 新規ドメイン名を使用するようにロードバランサのDNS設定をアップデートします
  4. ロードバランサのSSL証明書を置き換えます