エージェント・サーバー間の証明書認証の有効化
作成日:2022年2月8日 | 更新日:2025年12月19日
確認ビルド: Desktop Central 10.1.2137.9
このナレッジでは、Endpoint Centralの各ビルド(Desktop Central 10.0.647 以降)において利用可能なエージェント・サーバー間の通信における証明書認証について説明しています。
エージェント・サーバー間の証明書認証の有効化
前提条件
証明書認証を有効化するには、以下の条件をすべて満たす必要があります。
- Desktop Central 10.0.647 以降 を使用していること
(Endpoint Central各ビルドを含みます) - Endpoint Centralサーバー・エージェント・配信サーバーの間にプロキシサーバーが設置されていないこと
- Endpoint Centralサーバーにサードパーティ証明書がインストールされていること
- Endpoint Centralエージェントがインストール済みの管理対象において、Endpoint Centralサーバーに使用しているサードパーティ証明書のルート証明書が証明書ストアにインストール済みであること(※証明書ストア内の信頼済み証明書は、通常OSによって管理されます。)
また、証明書認証は有効化するとすべての管理対象に対して適用され、一部の対象のみに対して有効化することはできません。
証明書認証の動作
証明書認証を有効にすると、Endpoint Central サーバーはクライアント証明書認証を使用して、サーバーに接続しようとするエージェントがインストールされた管理対象PCであるかどうかを検証します。
各エージェントには、サーバーの信頼された認証局によって署名された一意の証明書、および対応する秘密鍵が保存されます。認証が成功すると、サーバーはエージェントとの接続を許可します。失敗した場合、接続は切断されます。
この仕組みによって、許可されていないコンピューターがEndpoint Centralサーバーに接続できないようになり、セキュリティが向上します。
- 証明書認証を有効化すると、エージェントには、Endpoint Centralサーバーの信頼された認証局によって署名された一意の証明書と、対応する秘密鍵が保存されます。
この証明書は、管理対象の証明書ストアには保存されません。
証明書の有効期限が迫った場合、リフレッシュサイクルにおいて定期的に自動更新されます。 - エージェントがインストールされると、公開鍵と秘密鍵が生成されます。公開鍵は、Endpoint Centralサーバー内の信頼された認証局によって署名されます(このため、Endpoint Centralサーバーには信頼されたサードパーティ証明書がインストール済みである必要があります)。
- エージェントインストール後、エージェントがEndpoint Centralサーバーに対して通信を実行すると、Endpoint Centralサーバーから信頼された証明書が提示され、証明書ストア内のルート証明書を用いて検証します。
- Endpoint Central サーバーは、エージェントとのSSLハンドシェイク中にクライアント証明書をエージェントに要求します。エージェントは署名付き証明書を提示し、エージェントがIDを証明するために使用します。
- Endpoint Central サーバーは、証明書ストアの発行者の署名と証明書の有効性を確認することにより、エージェントから提供されたクライアント証明書を検証します。
- 証明書と秘密鍵が有効な場合、Endpoint Centralサーバーはエージェントとの接続を確立します。証明書が無効である場合や、エージェントが秘密鍵の所有を証明できない場合、サーバーはSSLハンドシェイク中にエージェントとの通信を切断します。
証明書認証設定の構成手順
- あらかじめバックアップを作成し、バックアップを別の場所に保存しておきます。
- 上記について問題ない場合、「管理」タブ →「セキュリティ設定」→「セキュリティ設定」を開きます。
- 「Advanced」→「エージェントとサーバーの通信の安全性」の欄を確認します。
以下のような「プロキシサーバーが構成されています……」というメッセージが表示されている場合、プロキシの設定されているリモートオフィスが存在するため、証明書認証を有効化できません。
表示がない場合、「無効化」のトグルスイッチをクリックして、有効化します。
しばらく待つと、証明書認証が有効化されます。証明書認証がいったん有効化されると、解除することはできません。
この記事は、こちらのページ(英語)を参考にしています。