本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep Security Agentの保護

セキュリティを強化するために、 Deep Security Agentを特定のDeep Security Managerにバインドできます。手順は、マネージャー起動アクティベーションまたはエージェント起動アクティベーションを使用しているかどうかによって異なります。環境に応じて、次の手順に従ってください。

マネージャーによるアクティベーション

エージェントとの通信中、 Deep Security AgentはManagerのIDを認証できます。これは、信頼する管理者の証明書と接続マネージャの証明書を比較することで実行されます。一致しない場合、マネージャ認証は失敗し、エージェントは接続しません。

これにより、エージェントがDeep Security Managerであると思われる不正なサーバでアクティベートまたは接続することを防ぐことができます。これは、特にクライアントがインターネットなどの信頼されないネットワークを介して接続する場合に推奨されます。

これを実行するには、が接続を試みる前に、許可されたマネージャを認識できるように、各エージェントをトラステッドマネージャのサーバ証明書で設定する必要があります。

エージェントをリセットまたは無効にすると、エージェントはDeep Security Managerの証明書を削除します。エージェントを再度有効にするには、これらの手順を繰り返します。

Deep Security Managerで、次のコマンドを実行してサーバ証明書をエクスポートします。

dsm_c -action exportdsmcert -output ds_agent_dsm.crt [-tenantname TENANTNAME | -tenantid TENANTID]

指定する項目は次のとおりです。
- ds_agent_dsm.crt は、マネージャのサーバ証明書の名前です。
  
  この正確なファイル名を使用する必要があります。名前を変更することはできません。
- -tenantname TENANTNAME Deep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合は、このパラメータまたは -tenantid パラメータが必要です。マルチテナント環境の設定も参照してください。
- -tenantid TENANTID テナントのIDです。
複数のテナントがいる場合は、次のコマンドを実行して、最初のテナントの証明書をエクスポートします。

dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1

次の手順に進んでください。（exportコマンドをTENANT2などで再度実行しないでください。終了するまでにTENANT1の証明書を使用しないでください。このコマンドは、ファイル.)を上書きします。
各クライアントのコンピュータで、 ds_agent_dsm.crt ファイルを次のフォルダに配置します。
- Windows： %ProgramData%\Trend Micro\ Deep Security Agent\dsa_core
- Linux： /var/opt/ds_agent/dsa_core
テナントが複数ある場合は、各テナントの証明書ファイルを専用のクライアントにのみコピーします。エージェントは他のテナントからアクティベートすることはできません。
マルチテナントDeep Security Managerを使用している場合は、テナントごとに前の2つの手順を繰り返します。

最初に、これらの手順を完了すると、エージェントは「事前有効化」状態になります。エージェントが完全にアクティベートされるまで、他のDeep Security Managerによって開始された操作、または dsa_control 経由でエージェントにコマンドを入力することはできません。これは意図的なものです。通常の操作は、アクティベーション時に再開します。

Agentからのリモート有効化

エージェントのアクティベーション中、 Deep Security Agentはマネージャの証明書をエージェントに固定することでDeep Security ManagerのIDを認証できます。これは、接続マネージャの証明書パスを検証し、信頼された認証機関（CA）によって署名されていることを確認することで行います。証明書パスが検証されると、マネージャ認証はエージェントを通過させ、エージェントをアクティベートします。これにより、エージェントがDeep Security Managerであると思われる不正なサーバからのアクティベーションを防ぐことができます。

エージェントを保護するには、各エージェントを有効化する前に許可されたマネージャを認識できるようにエージェントを設定する必要があります。

パブリックCAによって発行されたDeep Security Manager証明書チェーンをインポートする

次の仕様に基づいてchain.pemファイルを準備します。
- PKCS＃8 形式の秘密鍵です。
- 上記の秘密鍵に対応するX509証明書です。
- その他の中間のX509証明書を使用して、上記の証明書から信頼された認証局（CA）のルートへの信頼チェーンを構築します。各証明書は、その証明書の直前にある証明書に署名する必要があります。したがって、順序は重要です。 RFCのcertificate_listを参照してください。
Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}

${path_to_pem_file} は相対パスではなく、絶対パスである必要があります。

パブリックCA証明書をコピーし、名前を ds_agent_dsm_public_ca.crtに変更します。
エージェントコンピュータで、 ds_agent_dsm_public_ca.crt ファイルを次のいずれかの場所に配置します。
- Windows: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
- Linux/Unix: /var/opt/ds_agent/dsa_core

[Warning/2] | SSLVerifyCallback() - verify error 20: unable to get local issuer certificate

ピンニングは、信頼できる：あなたがDeep Security Managerの20.0.262をインストールしているとのDeep Security Agentの20.0.1540以降活性化エージェントしている場合は、次のエラーメッセージは、エージェントに管理者の証明書を固定していない示し活性化、時に表示されます証明書はオプションです。この証明書が適用されない場合は無視してください。ただし、信頼された証明書を使用する場合は、 Deep Security Agentをアクティベートする前に、上記の手順に従ってください。

証明書チェーンがインポートされたことを確認する

証明書チェーンがインポートされたことを確認するには、次のコマンドを入力します。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet

インポートされた証明書チェーンを削除する

パブリックCAによって発行されたDeep Security Manager証明書チェーンの使用を停止するには、次のコマンドを入力します。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete

初期設定では、 Deep Security Managerは自己署名証明書を使用するように戻ります。