ビュー:
セキュリティを向上させるために、Deep Security Agentを特定のDeep Security Managerにバインドすることができます。手順は、マネージャ開始のアクティベーションを使用するか、エージェント開始のアクティベーションを使用するかによって異なります。

Managerからの有効化

エージェントとマネージャの通信中、Deep Security Agentはマネージャの身元を認証できます。これは、信頼されたマネージャの証明書を接続しているマネージャの証明書と比較することで行います。一致しない場合、マネージャの認証は失敗し、エージェントは接続しません。
これは、エージェントがDeep Security Managerを装った悪意のあるサーバと接続またはアクティブ化するのを防ぎます。特に、エージェントがインターネットのような信頼できないネットワークを介して接続する場合に推奨されます。
エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。
注意
注意
エージェントをリセットまたは無効化すると、Deep Security Manager証明書が削除されます。エージェントを再度有効化する場合は、これらの手順を繰り返してください。
  1. Deep Security Managerで、サーバ証明書をエクスポートするコマンドを実行します:
    dsm_c -action exportdsmcert -output ds_agent_dsm.crt [-tenantname TENANTNAME | -tenantid TENANTID]
    ここで
    • ds_agent_dsm.crtはマネージャのサーバ証明書の名前です。この正確なファイル名を使用する必要があります。
    • -tenantname TENANTNAMEはDeep Securityテナントの名前です。Deep Security Managerがマルチテナントの場合、これまたは-tenantidパラメータのいずれかが必要です。マルチテナント環境のセットアップも参照してください。
    • -tenantid TENANTID はテナントのIDです。
    複数のテナントがある場合、最初のテナントの証明書をエクスポートするコマンドを実行してください。
    dsm_c -action exportdsmcert -output ds_agent_dsm.crt -tenantname TENANT1
    次の手順に進みます。TENANT1の証明書が完了するまで、TENANT2およびその他のエクスポートコマンドを再実行することはできませんのでご注意ください。このコマンドはファイルを上書きします。
  2. 各エージェントのコンピュータで、ds_agent_dsm.crtファイルを次の場所に配置してください。
    • Windowsで: %ProgramData%¥Trend Micro¥ Deep Security Agent¥dsa_core
    • LinuxまたはUnixの場合: /var/opt/ds_agent/dsa_core
    複数のテナントがある場合、各テナントの証明書ファイルをそのテナントのエージェントにのみコピーしてください。他のテナントではエージェントをアクティベートできません。
  3. マルチテナントのDeep Security Managerをお持ちの場合は、各テナントに対して前の手順を繰り返してください。
最初にこれらの手順を完了すると、エージェントは事前にアクティブ化された状態になります。エージェントが完全にアクティブ化されるまで、他のDeep Security Managerによって開始された操作やdsa_controlを介してエージェントにコマンドを入力することは機能しません。これは意図的なものであり、アクティブ化されると通常の操作が再開されます。

Agentからのリモート有効化

エージェントのアクティベーション中に、Deep Security Agentはマネージャの証明書をエージェントにピン留めすることで、Deep Security Managerの身元を認証できます。これにより、接続しているマネージャの証明書パスを検証し、それが信頼された証明機関 (CA) によって署名されていることを確認します。証明書パスが検証されると、マネージャの認証が通過し、エージェントがアクティベートされます。これにより、悪意のあるサーバがDeep Security Managerを装ってエージェントをアクティベートするのを防ぎます。
エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャを認識できるように設定する必要があります。

Deep Security Manager証明書チェーンを公開CA

  1. 次の仕様に基づいてchain.pemファイルを準備してください。
    • プライベートキーに対応するX509証明書。
    • 信頼された認証局 (CA) ルートへの信頼の連鎖を構築するための他の中間X509証明書。各証明書はそれに直接先行する証明書に署名しなければならないため、順序が重要です。RFCcertificate_listを参照してください。
  2. Deep Security Managerで、次のコマンドを実行して証明書チェーンをインポートします。
    /opt/dsm/dsm_c -action agentHBPublicServerCertificate -set ${path_to_pem_file}
    ${path_to_pem_file}は絶対パスでなければなりません。
  1. 公開CA証明書をコピーし、ds_agent_dsm_public_ca.crtに名前を変更してください。
  2. エージェントコンピュータで、ds_agent_dsm_public_ca.crtファイルを次のいずれかの場所に配置します:
    • Windowsで: %ProgramData%\Trend Micro\Deep Security Agent\dsa_core
    • LinuxまたはUnixの場合: /var/opt/ds_agent/dsa_core
注意
注意
Deep Security Manager 20.0.262をインストールし、Deep Security Agent 20.0.1540以降をアクティベートする場合、アクティベーション時に次のエラーメッセージが表示されます。これは、マネージャの証明書をエージェントにピン留めしていないことを示しています。
"[警告/2] | SSLVerifyCallback () - 検証エラー20: ローカル発行者証明書を取得できません"
信頼できる証明書のピン設定はオプションであるため、このエラーに該当しない場合は無視してかまいません。ただし、信頼できる証明書を使用する場合は、Deep Security Agentを有効化する前に前の手順に従ってください。
証明書チェーンがインポートされたことを確認するには、次のコマンドを入力してください。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -isSet

インポートした証明書チェーンを削除しますか

パブリックCAによって発行されたDeep Security Managerの証明書チェーンの使用を停止するには、次のコマンドを入力してください。
/opt/dsm/dsm_c -action agentHBPublicServerCertificate -delete
デフォルトでは、Deep Security Managerは自己署名証明書の使用に戻ります。