エージェントの有効化時に、コンソールの証明書をエージェントに固定することで、エージェントは Workload Security コンソールのIDを認証できます。接続コンソールの証明書パスを検証し、信頼された認証機関(CA)によって署名されていることを確認します。証明書パスの妥当性検査が実行されると、コンソール認証はエージェントをパスしてアクティベートします。これにより、
Workload Securityであると思われる不正なサーバでクライアントがアクティベートされなくなります。
エージェントを保護するには、各エージェントが有効化を試みる前に、承認されたマネージャを認識できるように構成する必要があります。
手順
- 次のコマンドを実行してください:
curl https://web.entrust.com/root-certificates/entrust_g2_ca.cer?_ga=2.268214990.1906231865.1600974902-1043992707.1600974902 > ds_agent_dsm_public_ca.crt - エージェントコンピュータで、
ds_agent_dsm_public_ca.crtファイルを次のいずれかの場所に配置します。- Windows:
%ProgramData%\Trend Micro\Deep Security Agent\dsa_core - Linux/Unix:
/var/opt/ds_agent/dsa_core
注意
バージョン20.0.1412以降のエージェントをアクティベートする場合、アクティベーション時に次のエラーメッセージが表示されます。これは、Workload Securityの証明書がエージェントにピン留めされていないことを示します。[Warning/2] | SSLVerifyCallback() - verify error 20: unable to get local issuer certificate
信頼できる証明書のピン設定はオプションであるため、このエラーに該当しない場合は無視してかまいません。ただし、信頼できる証明書を使用する場合は、 エージェントを有効化する前に保護する必要があります。 - Windows: