Deep Security 9.6 SP1およびそれ以前のバージョンでは、Deep Security ManagerとDeep Security Agent間の通信を保護するためにRSA-1024およびSHA-1を使用します。デフォルトでは、Deep Security 10.0以降はより安全なアルゴリズムであるRSA-2048およびSHA-256を使用します。
Deep Security 10.0以降を新規にインストールした場合はRSA-2048とSHA-256が使用されますが、以前のバージョンからDeep Security 10.0以降にアップグレードした場合は、暗号化アルゴリズムを別途アップグレードしないかぎり以前のアルゴリズムが引き続き使用されます。
この記事では、Deep Security 10.0以降にアップグレードした後にアルゴリズムをアップグレードする方法について説明します。この記事で説明されているように設定を変更すると、Deep Security Managerは自身とすべての管理対象エージェントの新しい証明書を生成します。エージェントが再びDeep Security Managerに接続すると、マネージャは新しい証明書をエージェントに送信します。

Windowsでアルゴリズムをアップグレードする

  1. Microsoft管理コンソールの [サービス] 画面を使用して「Trend Micro Deep Security Manager」サービスを停止します。
  2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダ (例: C:\Program Files\Trend Micro\Deep Security Manager) に移動します。
  3. dsm_cコマンドとパラメータを使用して、新しい設定に変更します。例えば:
    dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"
    dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"
    dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"
  4. エラーが表示されないことを確認し、Trend Micro Deep Security Managerサービスを再起動します。

Linuxでアルゴリズムをアップグレードする

  1. コマンドラインで、Deep Security Managerサービスが実行されているディレクトリに移動し、次のコマンドを実行してサービスを停止します。
    service dsm_s stop
  2. Linuxコマンドラインで、Deep Security Managerの作業フォルダ (/opt/dsmなど) に移動します。
  3. dsm_cコマンドとパラメータを使用して、新しい設定に変更します。例えば:
    ./dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"
    ./dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"
    ./dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"
  4. エラーが表示されないことを確認し、Trend Micro Deep Security Managerサービスを再起動します。

複数ノード環境でアルゴリズムをアップグレードする

複数のノードでDeep Security Managerを実行している場合は、いずれかのノードでdsm_cコマンド (上記を参照) を実行し、次に他の各ノードで手動で「Trend Micro Deep Security Manager」サービスを再起動して変更を反映します。

マルチテナント環境でアルゴリズムをアップグレードする

Deep Security 10.0では、アルゴリズム設定は各テナントごとに独立しています。dsm_cコマンドでテナント名 (-tenantnameを使用) またはテナントID (-tenantidを使用) を追加して、各テナントの設定を更新する必要があります。例えば、IDが5のテナントの設定を変更するには:
dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA" -tenantid 5
dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048" -tenantid 5
dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true" -tenantid 5