Endpoint Central オンプレミス版 ナレッジベース

HTTPS通信の有効化


このナレッジでは、Endpoint Centralへのログイン時や、Endpoint Centralサーバー・配信サーバー・エージェント間の通信においてHTTPS通信を有効化する設定方法について説明しています。

通信におけるHTTPSの有効化

コンソール画面へログインする通信のHTTPS化

製品ユーザーがEndpoint Central コンソール画面へログインする際の通信を手動でHTTPS化するには、以下の設定を変更します。

HTTPSの強制化
Endpoint Centralのインストール直後は、HTTPを使用してコンソール画面へのアクセスが可能ですが、セキュリティ強化のため一定期間後にHTTPS化が強制されます(強制化後、Endpoint Centralサーバーサービスの再起動後に変更が反映されます)。これにより、コンソール画面へアクセスする通信で使用するプロトコル(HTTP → HTTPS)およびデフォルトで使用されるポート番号が変更されます。
  1. Administrator権限を持つ製品ユーザーとしてコンソール画面へログインします。
  2. 「管理」タブ →「セキュリティ設定」→「セキュリティ設定」を開きます。
  3. 「Centralサーバーへのアクセス時の安全な通信(HTTPS)を有効化する」のトグルスイッチをクリックし、有効化します。この項目は一度有効化すると、無効化することはできません。
    (「管理」タブ →「サーバー設定」→「サーバー設定」を開き、「セキュアログインを有効にする (HTTPS)」 にチェックを入れ、[保存]をクリックすることでも、同じ操作が可能です。なお有効化状態から無効に変更しても反映されません)
  4. Endpoint Centralサーバーの再起動後、設定が反映されます。ログイン時にアクセスするプロトコルおよびポートが変更されます。デフォルトで使用されるポートについては通信ポートに関するナレッジをご覧ください。
  5. Webブラウザーの警告
    HTTPSを有効化した後にコンソール画面へアクセスしようとすると、Webブラウザーにより警告が表示されます。これは、自己署名証明書など信頼された認証局から発行されていない証明書を使用しているサイトへアクセスする場合に表示されるWebブラウザーの仕様です。

    デフォルトでは、Endpoint Centralは自己署名証明書を使用してHTTPS通信を実現しています。このため、Webブラウザーの警告が表示されます。
    この警告は無視可能ですが、警告を表示させないようにするには、信頼された証明機関から証明書を購入し、Endpoint Centralサーバーにインポートするか、またはEndpoint Centralのもつ自己署名証明書を、コンソール画面へアクセスするブラウザーにおいて信頼する必要があります。

    • A. 信頼された証明機関から発行された証明書をインポートする場合:
      こちらのナレッジをご確認ください。Endpoint Centralでは、信頼されたCA発行の証明書・組織内CA発行の証明書のどちらでも使用することができます。ただし組織内CAなど信頼された証明機関以外で発行されている証明書を使用する場合は、B. の手順で証明書を信頼させる必要があります。
    • B. デフォルトの自己署名証明書をアクセスブラウザーで信頼する場合:
      Webブラウザーの証明書ストアに、Endpoint Centralで使用されている証明書をインポートします。細はWebブラウザーの仕様によるため、Webブラウザーのベンダーにお問い合わせください。
    • C. 警告を無視してアクセスする場合:
      アクセス先が確実にEndpoint Centralであることを確認し、「詳細設定」をクリックすることでアクセスを継続できます(HSTSの場合は、ブラウザーの設定画面より、コンソール画面へのアクセスをHSTSの対象から除外する必要があります)。詳細はWebブラウザーの仕様によるため、Webブラウザーのベンダーにお問い合わせください。

 


製品サーバー・配信サーバー・エージェント間の通信におけるHTTPS通信の有効化
基本機能で使用するポート

パッチ管理機能、ソフトウェア配布機能、インベントリ機能、エージェントの更新など、リモート制御機能以外の管理対象との通信においては、Desktop Central 10.0.400以降およびEndpoint Central各ビルドにおいてはデフォルトで HTTPS が使用されます。
デフォルトで使用されるポートについては通信ポートに関するナレッジをご覧ください。

リモート制御に使用するポート

リモート制御機能を使用する通信は、Desktop Central 10.0.400 以降およびEndpoint Central各ビルドにおいてはデフォルトでHTTPS通信が使用されます。
デフォルトで使用されるポートについては通信ポートに関するナレッジをご覧ください。

デフォルトの状態では、自己署名証明書が使用されます。この自己署名証明書の有効期限は365日で、有効期限まで30日未満になるとEndpoint Centralサーバーの再起動時に自動的に更新され、エージェント/配信サーバーへ配布されます。
エージェント・サーバー間の通信をセキュアにするにはサードパーティSSL証明書をEndpoint Centralサーバーにインポートすることを推奨します。インポートできるSSL証明書は、プライベート認証局(社内認証局など)またはパブリック認証局(信頼された認証機関)で発行された証明書です。自己署名証明書をインポートすることはできません。
プライベート認証機関で発行された証明書をインポートした場合、セキュア名通信は実現されません。パブリック認証局で発行された証明書をインポートすることを推奨します。

Endpoint Central (Desktop Central)のセキュリティ設定状況は、管理タブ > セキュリティ設定 > セキュリティ設定 からご確認いただけます。