请描述客户端和管理中心之间的 SSL 实施和凭证配置系统

趋势科技服务器深度安全防护系统管理中心以相似方式处理与客户端/设备的所有连接。如果客户端尚未激活，则只能执行一组有限的互动。如果客户端已激活（由管理员激活或通过客户端启动的激活功能进行激活），则会启用全套交互。在所有情况下，趋势科技服务器深度安全防护系统管理中心都起着 HTTP 客户端的作用，而不论连接是通过何种方式启动的。客户端/设备无法自行申请数据或启动操作。管理中心会请求事件和状态等内容的信息，调用操作，或将配置推送给客户端。此安全域严格受控，以确保客户端/设备无法访问趋势科技服务器深度安全防护系统管理中心或其主机。

趋势科技服务器深度安全防护系统客户端可能会与趋势科技服务器深度安全防护系统管理中心启动通信，或可能被管理中心联系（前提是计算机对象设置为在双向模式下操作）。与管理中心一样，客户端也使用两种不同的连接上下文。激活前，客户端会接受启动证书，以构建 SSL 或 TLS 通道。认证后，需要进行手动认证才能启动连接。使用相互认证时，管理中心的证书会发送到客户端，而客户端的证书会发送到管理中心。在授予特权访问前，客户端会验证证书是否来自同一个证书颁发机构（即趋势科技服务器深度安全防护系统管理中心）。如前文所述，一旦建立好 SSL 通道，客户端便会起着 HTTP 通信的服务器的作用。它对管理中心的访问会受到限制，只能对请求做出响应。通信通道可提供认证、保密（通过加密）和完整性（通过 TLS 协议）。使用相互认证可防范中间人攻击 (MiTM)，在此类攻击中，SSL 通信通道会通过恶意第三方进行代理。在数据流内，内部内容使用 GZIP，配置则使用 PKCS #7 进一步加密。