Endpoint Central オンプレミス版 ナレッジベース

エージェント・サーバー間の証明書認証の有効化


この記事では、Desktop Central 10.0.647 以降 および Desktop Central 10.1.2119.10 以降のビルドにおいて利用可能な エージェント・サーバー間の通信における証明書認証 について説明しています。【確認ビルド: Desktop Central 10.1.2137.9】

エージェント・サーバー間の証明書認証の有効化

前提条件

証明書認証を有効化するには、以下の条件をすべて満たす必要があります。

  • Desktop Central 10.0.647 以降 を使用していること
    (Desktop Central 10.1.2119.10 以降 を含む)
     
  • Desktop Central サーバー・エージェント・配信サーバー間 のいずれにもにプロキシサーバーが設置されていないこと
     
  • Desktop Central サーバーにサードパーティ証明書がインストールされていること
     
  • Desktop Central サーバー・エージェント間の通信にhttpsを使用していること
     
  • Desktop Central エージェントがインストール済みの管理対象において、Desktop Centralサーバー に使用しているサードパーティ証明書のルート証明書が証明書ストアにインストール済みであること (※証明書ストア内の信頼済み証明書は、通常OSによって管理されます。)

また、証明書認証は有効化するとすべての管理対象に対して適用され、一部の対象のみに対して有効化することはできません。

 


証明書認証の動作

証明書認証を有効にすると、Desktop Central サーバーはクライアント証明書認証を使用して、サーバーに接続しようとするエージェントがインストールされた管理対象PCを認証します。
各エージェントには、サーバーの信頼された認証局によって署名された一意の証明書と対応する秘密鍵が保存されます。認証が成功すると、サーバーはエージェントとの接続を許可します。失敗した場合、接続は切断されます。
許可されていないコンピューターが Desktop Central サーバーに接続できないようになり、セキュリティが向上します。

  1. 証明書認証を有効化すると、エージェントには、Desktop Centralサーバーの信頼された認証局によって署名された一意の証明書と対応する秘密鍵が保存されます。
    この証明書は、管理対象の証明書ストアには保存されません。
    証明書の有効期限が迫った場合、リフレッシュサイクルにおいて定期的に自動更新されます。
  2. エージェントがインストールされると、公開鍵と秘密鍵が生成されます。公開鍵は、Desktop Central サーバー内の信頼された認証局によって署名されます(このため、Desktop Central サーバーには信頼されたサードパーティ証明書がインストール済みである必要があります。)。
  3. エージェントはインストール後、Desktop Central サーバーに対して通信を実行すると、Desktop Central サーバーから信頼された証明書が提示され、証明書ストア内のルート証明書を用いて検証します。
  4. Desktop Central サーバーは、エージェントとのSSLハンドシェイク中にクライアント証明書をエージェントに要求します。エージェントは署名付き証明書を提示し、エージェントがIDを証明するために使用します。
  5. Desktop Central サーバーは、トラストストアの発行者の署名と証明書の有効性を確認することにより、エージェントから提供されたクライアント証明書を検証します。
  6. 証明書と秘密鍵が有効な場合、DesktopCentral サーバーはエージェントとの接続を確立します。証明書が無効である場合や、エージェントが秘密鍵の所有を証明できない場合、サーバーはSSLハンドシェイク中にエージェントとの通信を切断します。

 


証明書認証設定の構成手順
  1. あらかじめバックアップを作成し、バックアップを別の場所に保存しておきます。
     
  2. エージェントタブ > エージェントのバージョンを確認し、すべての管理対象コンピューターがエージェントバージョン 10.0.647以降にアップグレードされていることを確認してください。
    このオプションを有効にする前に、すべての管理対象コンピューターにおいてエージェントがバージョン 10.0.647 以降にアップグレードされていることを確認してください。それ以前の管理対象は証明書認証に対応していないため、証明書認証を有効化するとDesktop Centralサーバーと通信できなくなります(エージェントの再インストールが必要になります)。
  3. 上記について問題ない場合、管理タブ > セキュリティ設定 > セキュリティ設定 を開きます。
     
  4. エージェントとサーバーの通信の安全性を確保 > Enable certificate-based authentication for agent-server communication について、クリックして有効にします。
  5. 最新版ではないエージェント(Old Agent)の割合が赤で表示されます。これらのエージェントは有効化すると管理できなくなります。修正する場合は[Later]をクリックしてエージェントの更新状況を確認します。問題ない場合は[Enable Now]をクリックして証明書認証設定を有効化します。

この記事は、こちらのページ(英語)を参考にしています。