セキュリティを向上させるために、Deep Security Agentを特定のDeep Security Managerにバインドできます。マネージャによるアクティベーションを使用するか、エージェントによるアクティベーションを使用するかによって、手順が異なります。環境に応じて、以下の手順に従ってください。
Managerからの有効化
エージェントとマネージャの通信中、Deep Security Agentはマネージャの身元を認証できます。これは、信頼されたマネージャの証明書を接続しているマネージャの証明書と比較することで行います。一致しない場合、マネージャの認証は失敗し、エージェントは接続しません。
これは、エージェントがDeep Security Managerになりすました悪意のあるサーバーと接続またはアクティベートするのを防ぎます。特に、エージェントがインターネットなどの信頼できないネットワークを介して接続する場合に推奨されます。
これを行うには、各エージェントを信頼されたマネージャのサーバ証明書で構成し、接続を試みる前に認証されたマネージャを認識できるようにする必要があります。
![]() |
注意エージェントをリセットまたは無効化すると、Deep Security Manager証明書が削除されます。エージェントを再度有効化する場合は、これらの手順を繰り返してください。
|
-
Deep Security Managerで、サーバ証明書をエクスポートするコマンドを実行します:
dsm_c -action exportdsmcert -output ds_agent_dsm.crt [-tenantname TENANTNAME | -tenantid TENANTID]
指定する項目は次のとおりです。-
ds_agent_dsm.crtはマネージャのサーバ証明書の名前です。
注意
この正確なファイル名を使用する必要があります。名前を変更することはできません。 -
-tenantname TENANTNAME
はDeep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合、これまたは-tenantid
パラメータのいずれかが必要です。マルチテナント環境のセットアップも参照してください。 -
-tenantid TENANTID
はテナントのIDです。
複数のテナントがある場合は、最初のテナントの証明書をエクスポートするために次のコマンドを実行します:dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1
次のステップに進みます。(TENANT1の証明書が完了するまで、TENANT2およびその他のエクスポートコマンドを再実行しないでください。このコマンドはファイルを上書きします。) -
-
各エージェントのコンピュータにあるこのフォルダに ds_agent_dsm.crt ファイルを配置してください:
-
Windows: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
-
Linux: /var/opt/ds_agent/dsa_core
複数のテナントがある場合は、各テナントの証明書ファイルをそのテナントのエージェントにのみコピーしてください。エージェントは他のテナントによってアクティブ化することはできません。 -
-
マルチテナントのDeep Security Managerをお使いの場合は、各テナントに対して前の2つの手順を繰り返してください。
![]() |
注意最初にこれらの手順を完了すると、エージェントは事前アクティブ化状態になります。エージェントが完全にアクティブ化されるまで、他のDeep Security Managerによって開始された操作や
dsa_control を介してエージェントにコマンドを入力することは機能しません。これは意図的なものです。アクティブ化されると通常の操作が再開されます。 |
Agentからのリモート有効化
エージェントのアクティベーション中に、Deep Security Agentはマネージャの証明書をエージェントにピン留めすることで、Deep Security Managerの身元を認証できます。これにより、接続しているマネージャの証明書パスを検証し、それが信頼された証明機関
(CA) によって署名されていることを確認します。証明書パスが検証されると、マネージャの認証が通過し、エージェントがアクティベートされます。これにより、悪意のあるサーバがDeep
Security Managerを装ってエージェントをアクティベートするのを防ぎます。
エージェントを保護するために、各エージェントが有効化を試みる前に認証されたマネージャを認識できるように設定する必要があります。
Deep Security Manager証明書チェーンを公開CA
-
Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}
注意
${path_to_pem_file}は絶対パスでなければなりません、相対パスではありません。
-
公開CA証明書をコピーして
ds_agent_dsm_public_ca.crt
に名前を変更します。 -
エージェントコンピュータで、
ds_agent_dsm_public_ca.crt
ファイルを次のいずれかの場所に配置します:-
Windows:
%ProgramData%\Trend Micro\Deep Security Agent\dsa_core
-
Linux/Unix:
/var/opt/ds_agent/dsa_core
-
![]() |
注意Deep Security Manager 20.0.262をインストールし、Deep Security Agent 20.0.1540またはそれ以降のエージェントをアクティベートする場合、アクティベーション時に次のエラーメッセージが表示されます。これは、マネージャの証明書がエージェントにピン留めされていないことを示しています。
[Warning/2] | SSLVerifyCallback() - verify error 20: unable to get local issuer certificate 信頼された証明書のピン留めは任意であるため、該当しない場合はこのエラーを無視できます。ただし、信頼された証明書を使用したい場合は、Deep Security Agentを有効化する前に、上記のセクションの手順に従ってください。
|
証明書チェーンがインポートされていることを確認してください
証明書チェーンがインポートされたことを確認するには、次のコマンドを入力してください:
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet
インポートした証明書チェーンを削除しますか
パブリックCAによって発行されたDeep Security Manager証明書チェーンの使用を停止する場合は、次のコマンドを入力してください:
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete
デフォルトでは、Deep Security Managerは自己署名証明書の使用に戻ります。