本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
Deep Security Agentの保護
セキュリティを向上させるために、Deep Security Agentを特定のDeep Security Managerにバインドすることができます。手順は、マネージャ開始のアクティベーションを使用するか、エージェント開始のアクティベーションを使用するかによって異なります。
マネージャーによるアクティベーション
エージェント-マネージャ間の通信中、Deep Security Agentはマネージャの身元を認証できます。これは、信頼されたマネージャの証明書を接続しているマネージャの証明書と比較することで行われます。一致しない場合、マネージャの認証は失敗し、エージェントは接続しません。
これは、エージェントが悪意のあるサーバがあなたのDeep Security Managerであると偽装してアクティブ化したり接続したりするのを防ぎます。特に、エージェントがインターネットのような信頼できないネットワークを介して接続する場合に推奨されます。
エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。
-
Deep Security Managerで、次のコマンドを実行してサーバ証明書をエクスポートします。
dsm_c -action exportdsmcert -output ds_agent_dsm.crt
どこ
-
ds_agent_dsm.crtはマネージャのサーバ証明書の名前です。この正確なファイル名を使用する必要があります。
- -tenantname TENANTNAME はDeep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合、これまたは-tenantidパラメータが必要です。マルチテナント環境の設定も参照してください。
- -tenantid TENANTID テナントのIDです。
複数のテナントがある場合、最初のテナントの証明書をエクスポートするためにコマンドを実行してください。
dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1
次の手順に進みます。TENANT1の証明書が完了するまで、TENANT2やその他のエクスポートコマンドを再実行しないでください。このコマンドはファイルを上書きするためです。
-
-
各エージェントのコンピュータで、ds_agent_dsm.crtファイルを次の場所に配置してください。
- Windows上: %ProgramData%\Trend Micro\ Deep Security Agent\dsa_core
- LinuxまたはUnixの場合: /var/opt/ds_agent/dsa_core
複数のテナントがある場合、各テナントの証明書ファイルをそのテナント専用のエージェントにのみコピーしてください。エージェントは他のテナントによってアクティベートされることはできません。
- マルチテナントのDeep Security Managerをお持ちの場合は、各テナントに対して前の手順を繰り返してください。
最初にこれらの手順を完了すると、エージェントは事前にアクティブ化された状態になります。エージェントが完全にアクティブ化されるまで、他のDeep Security Managerによって開始された操作や、dsa_controlを介してエージェントにコマンドを入力することは機能しません。これは意図的なものであり、アクティブ化されると通常の操作が再開されます。
Agentからのリモート有効化
エージェントのアクティベーション中、 Deep Security Agentはマネージャの証明書をエージェントに固定することでDeep Security ManagerのIDを認証できます。これは、接続マネージャの証明書パスを検証し、信頼された認証機関(CA)によって署名されていることを確認することで行います。証明書パスが検証されると、マネージャ認証はエージェントを通過させ、エージェントをアクティベートします。これにより、エージェントがDeep Security Managerであると思われる不正なサーバからのアクティベーションを防ぐことができます。
エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。
パブリックCAによって発行されたDeep Security Manager証明書チェーンをインポートする
- 次の仕様に基づいて
chain.pemファイルを準備してください。- PKCS#8 形式の秘密鍵です。
- プライベートキーに対応するX509証明書。
- 信頼された認証局 (CA) ルートへの信頼の連鎖を構築するための他の中間X509証明書。各証明書はそれに直接先行する証明書に署名しなければならないため、順序が重要です。RFCの
certificate_listを参照してください。
- Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}
${path_to_pem_file}は絶対パスでなければなりません。
- 公開CA証明書をコピーして、
ds_agent_dsm_public_ca.crtに名前を変更してください。 - エージェントコンピュータで、
ds_agent_dsm_public_ca.crtファイルを次のいずれかの場所に配置します。- Windowsの場合:
%ProgramData%\Trend Micro\Deep Security Agent\dsa_core
- LinuxまたはUnixの場合:
/var/opt/ds_agent/dsa_core
- Windowsの場合:
"[Warning/2] | SSLVerifyCallback () - verify error 20: unable to get local issuer certificate"
信頼できる証明書のピン留めは任意であるため、該当しない場合はこのエラーを無視できます。ただし、信頼できる証明書を使用したい場合は、Deep Security Agentをアクティベートする前に前述の手順に従ってください。
証明書チェーンがインポートされたことを確認するには、次のコマンドを入力してください。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet
インポートされた証明書チェーンを削除
パブリックCAによって発行されたDeep Security Managerの証明書チェーンの使用を停止するには、次のコマンドを入力してください。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete
デフォルトでは、Deep Security Managerは自己署名証明書の使用に戻ります。