本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep Security Agentの保護

セキュリティを向上させるために、Deep Security Agentを特定のDeep Security Managerにバインドすることができます。手順は、マネージャーによるアクティベーションを使用するか、エージェントによるアクティベーションを使用するかによって異なります。

マネージャーによるアクティベーション

エージェントとマネージャの通信中、Deep Security Agentはマネージャの身元を認証できます。これは、信頼されたマネージャの証明書を接続しているマネージャの証明書と比較することで行います。一致しない場合、マネージャの認証は失敗し、エージェントは接続しません。

これは、エージェントが悪意のあるサーバと接続したり、Deep Security Managerを装ったサーバでアクティブ化したりするのを防ぎます。特に、エージェントがインターネットなどの信頼できないネットワークを介して接続する場合に推奨されます。

エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。

エージェントをリセットまたは無効にすると、エージェントはDeep Security Managerの証明書を削除します。エージェントを再度有効にするには、これらの手順を繰り返します。

Deep Security Managerで、次のコマンドを実行してサーバ証明書をエクスポートします。

dsm_c -action exportdsmcert -output ds_agent_dsm.crt [-tenantname TENANTNAME | -tenantid TENANTID]

どこ
- ds_agent_dsm.crtはマネージャのサーバ証明書の名前です。この正確なファイル名を使用する必要があります。
- -tenantname TENANTNAME はDeep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合、これまたは-tenantidパラメータが必要です。マルチテナント環境の設定も参照してください。
- -tenantid TENANTID テナントのIDです。
複数のテナントがある場合、最初のテナントの証明書をエクスポートするためにコマンドを実行してください。

dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1

次の手順に進みます。TENANT1の証明書が完了するまで、TENANT2およびその他のエクスポートコマンドを再実行することはできませんのでご注意ください。このコマンドはファイルを上書きします。
各エージェントのコンピュータで、ds_agent_dsm.crtファイルを次の場所に配置してください。
- Windowsの場合: %ProgramData%\Trend Micro\ Deep Security Agent\dsa_core
- LinuxまたはUnixの場合: /var/opt/ds_agent/dsa_core
複数のテナントがある場合、各テナントの証明書ファイルをそのテナント専用のエージェントにのみコピーしてください。他のテナントではエージェントをアクティベートできません。
マルチテナントのDeep Security Managerをお持ちの場合は、各テナントに対して前の手順を繰り返してください。

最初にこれらの手順を完了すると、エージェントは事前にアクティブ化された状態になります。エージェントが完全にアクティブ化されるまで、他のDeep Security Managerによって開始された操作や、dsa_controlを介してエージェントにコマンドを入力することは機能しません。これは意図的なものであり、アクティブ化されると通常の操作が再開されます。

Agentからのリモート有効化

エージェントのアクティベーション中、 Deep Security Agentはマネージャの証明書をエージェントに固定することでDeep Security ManagerのIDを認証できます。これは、接続マネージャの証明書パスを検証し、信頼された認証機関（CA）によって署名されていることを確認することで行います。証明書パスが検証されると、マネージャ認証はエージェントを通過させ、エージェントをアクティベートします。これにより、エージェントがDeep Security Managerであると思われる不正なサーバからのアクティベーションを防ぐことができます。

エージェントを保護するために、エージェントがアクティベートを試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。

パブリックCAによって発行されたDeep Security Manager証明書チェーンをインポートする

次の仕様に基づいてchain.pemファイルを準備してください。
- PKCS＃8 形式の秘密鍵です。
- プライベートキーに対応するX509証明書。
- 信頼された認証局 (CA) ルートへの証明書の信頼チェーンを構築するための他の中間X509証明書。各証明書はそれに直接先行する証明書に署名しなければならないため、順序が重要です。RFCのcertificate_listを参照してください。
Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}

${path_to_pem_file}は絶対パスでなければなりません。

公開CA証明書をコピーして、ds_agent_dsm_public_ca.crtに名前を変更してください。
エージェントコンピュータで、 ds_agent_dsm_public_ca.crt ファイルを次のいずれかの場所に配置します。
- Windowsの場合: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
- LinuxまたはUnixの場合: /var/opt/ds_agent/dsa_core

Deep Security Manager 20.0.262をインストールし、Deep Security Agent 20.0.1540以降をアクティベートする際に、次のエラーメッセージが表示されます。これは、マネージャーの証明書をエージェントにピン留めしていないことを示しています。

"[Warning/2] | SSLVerifyCallback () - verify error 20: unable to get local issuer certificate"

信頼された証明書のピン留めは任意であるため、該当しない場合はこのエラーを無視できます。ただし、信頼された証明書を使用したい場合は、Deep Security Agentをアクティベートする前に前述の手順に従ってください。

証明書チェーンがインポートされたことを確認するには、次のコマンドを入力してください。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet

インポートされた証明書チェーンを削除

パブリックCAによって発行されたDeep Security Managerの証明書チェーンの使用を停止するには、次のコマンドを入力してください。

/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete

デフォルトでは、Deep Security Managerは自己署名証明書の使用に戻ります。