セキュリティを向上させるために、Deep Security Agentを特定のDeep Security Managerにバインドできます。マネージャによるアクティベーションを使用するか、エージェントによるアクティベーションを使用するかによって、手順が異なります。環境に応じて、以下の手順に従ってください。

Managerからの有効化

エージェントとマネージャの通信中、Deep Security Agentはマネージャの身元を認証できます。これは、信頼されたマネージャの証明書を接続しているマネージャの証明書と比較することで行います。一致しない場合、マネージャの認証は失敗し、エージェントは接続しません。
これは、エージェントがDeep Security Managerになりすました悪意のあるサーバーと接続またはアクティベートするのを防ぎます。特に、エージェントがインターネットなどの信頼できないネットワークを介して接続する場合に推奨されます。
これを行うには、各エージェントを信頼されたマネージャのサーバ証明書で構成し、接続を試みる前に認証されたマネージャを認識できるようにする必要があります。
注意
注意
エージェントをリセットまたは無効化すると、Deep Security Manager証明書が削除されます。エージェントを再度有効化する場合は、これらの手順を繰り返してください。
  1. Deep Security Managerで、サーバ証明書をエクスポートするコマンドを実行します:
    dsm_c -action exportdsmcert -output ds_agent_dsm.crt [-tenantname TENANTNAME | -tenantid TENANTID]
    指定する項目は次のとおりです。
    • ds_agent_dsm.crtはマネージャのサーバ証明書の名前です。
      注意
      注意
      この正確なファイル名を使用する必要があります。名前を変更することはできません。
    • -tenantname TENANTNAME はDeep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合、これまたは-tenantidパラメータのいずれかが必要です。マルチテナント環境のセットアップも参照してください。
    • -tenantid TENANTID はテナントのIDです。
    複数のテナントがある場合は、最初のテナントの証明書をエクスポートするために次のコマンドを実行します:
    dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1
    次のステップに進みます。(TENANT1の証明書が完了するまで、TENANT2およびその他のエクスポートコマンドを再実行しないでください。このコマンドはファイルを上書きします。)
  2. 各エージェントのコンピュータにあるこのフォルダに ds_agent_dsm.crt ファイルを配置してください:
    • Windows: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
    • Linux: /var/opt/ds_agent/dsa_core
    複数のテナントがある場合は、各テナントの証明書ファイルをそのテナントのエージェントにのみコピーしてください。エージェントは他のテナントによってアクティブ化することはできません。
  3. マルチテナントのDeep Security Managerをお使いの場合は、各テナントに対して前の2つの手順を繰り返してください。
注意
注意
最初にこれらの手順を完了すると、エージェントは事前アクティブ化状態になります。エージェントが完全にアクティブ化されるまで、他のDeep Security Managerによって開始された操作やdsa_controlを介してエージェントにコマンドを入力することは機能しません。これは意図的なものです。アクティブ化されると通常の操作が再開されます。

Agentからのリモート有効化

エージェントのアクティベーション中に、Deep Security Agentはマネージャの証明書をエージェントにピン留めすることで、Deep Security Managerの身元を認証できます。これにより、接続しているマネージャの証明書パスを検証し、それが信頼された証明機関 (CA) によって署名されていることを確認します。証明書パスが検証されると、マネージャの認証が通過し、エージェントがアクティベートされます。これにより、悪意のあるサーバがDeep Security Managerを装ってエージェントをアクティベートするのを防ぎます。
エージェントを保護するために、各エージェントが有効化を試みる前に認証されたマネージャを認識できるように設定する必要があります。

Deep Security Manager証明書チェーンを公開CA

  1. 次の仕様に基づいてchain.pemファイルを準備してください:
    • 上記の秘密鍵に対応するX509証明書。
    • 上記の証明書から信頼された認証局 (CA) ルートへの信頼の連鎖を構築するための他の中間X509証明書。各証明書は直前の証明書に署名する必要があるため、順序が重要です。詳細はRFCのcertificate_listを参照してください。
  2. Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。
    /opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}
    注意
    注意
    ${path_to_pem_file}は絶対パスでなければなりません、相対パスではありません。
  1. 公開CA証明書をコピーしてds_agent_dsm_public_ca.crtに名前を変更します。
  2. エージェントコンピュータで、ds_agent_dsm_public_ca.crtファイルを次のいずれかの場所に配置します:
    • Windows: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
    • Linux/Unix: /var/opt/ds_agent/dsa_core
注意
注意
Deep Security Manager 20.0.262をインストールし、Deep Security Agent 20.0.1540またはそれ以降のエージェントをアクティベートする場合、アクティベーション時に次のエラーメッセージが表示されます。これは、マネージャの証明書がエージェントにピン留めされていないことを示しています。
[Warning/2] | SSLVerifyCallback() - verify error 20: unable to get local issuer certificate
信頼された証明書のピン留めは任意であるため、該当しない場合はこのエラーを無視できます。ただし、信頼された証明書を使用したい場合は、Deep Security Agentを有効化する前に、上記のセクションの手順に従ってください。

証明書チェーンがインポートされていることを確認してください

証明書チェーンがインポートされたことを確認するには、次のコマンドを入力してください:
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet

インポートした証明書チェーンを削除しますか

パブリックCAによって発行されたDeep Security Manager証明書チェーンの使用を停止する場合は、次のコマンドを入力してください:
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete
デフォルトでは、Deep Security Managerは自己署名証明書の使用に戻ります。