エージェント セキュリティと信頼できる証明書
エンドポイント マネージャ は証明書を使用した認証モデルを使用しています。デバイス エージェントは、許可されているコア サーバを認証し、許可されていないコア サーバがクライアントにアクセスするのを防ぎます。各コア サーバには、コアまたはロールアップ コア サーバのインストール時にエンドポイント マネージャセットアップによって作成された固有の証明書と秘密鍵があります。
秘密鍵と証明書ファイルを次に示します。
- <keyname>.key: KEY ファイルは、コア サーバの秘密キーであり、コア サーバだけに置かれます。このキーが破壊されると、コア サーバとデバイスの通信は安全ではなくなります。このキーを保護してください。たとえば、電子メールで転送しないでください。
- <keyname>.crt:.CRT ファイルには、コア サーバの公開鍵が含まれています。.CRT ファイルは、公開鍵を閲覧者にわかりやすく表示したバージョンです。このファイルを表示して、鍵に関する詳細を参照できます。
- <hash>.0:.0 ファイルは、信頼されている証明書ファイルであり、CRT ファイルと同じ内容が含まれています。ただし、さまざまな証明書が含まれているフォルダでコンピュータが証明書ファイルを速やかに検索できるように名前が付けられます。その名前は、証明書のサブジェクト情報のハッシュ (チェックサム) です。特定の証明書のハッシュ ファイル名を調べるには、<keyname>.CRT ファイルを表示します。ファイルには INI ファイル セクション [LDMS] があります。ハッシュと値のペアは、<hash> 値を示します。
ハッシュを表示するもう 1 つの方法は、openssl アプリケーションを使用することです。このアプリケーションは \Program Files\LANDesk\Shared Files\Keys フォルダに保存されています。次のコマンド ラインを使用すると、証明書に関連付けられたハッシュが表示されます。
openssl.exe x509 -in <keyname>.crt -hash -noout
すべてのキーは、コア サーバの \Program Files\LANDesk\Shared Files\Keys に保存されています。<hash>.0 公開鍵は LDLOGON フォルダにもあり、既定でこのフォルダに存在する必要があります。<keyname> は エンドポイント マネージャ セットアップで入力した証明書名です。セットアップ時に、コア サーバ名などのわかりやすいキー名 (またはその完全修飾名) を入力すると便利です (例 :ldcore あるいは ldcore.org.com)。それによって、多数のコアが存在する環境で証明書/秘密鍵を簡単に識別できるようになります。
コア サーバの [Keys] フォルダの内容をバックアップし、安全でセキュリティ保護された場所に保管しておきます。何らかの理由でコア サーバの再インストルまたは置換えが必要になった場合、オリジナルのコアの証明書を新しいコアに追加するまで、コア サーバのデバイスを管理することができなくなります。
管理デバイス証明書
Ivanti® Endpoint Managerバージョン2016では、Windows デバイス用の新しいクライアント証明書を使用したセキュリティ モデルが導入されました。このセキュリティ モデルがアクティブになると、有効な証明書があるデバイスのみが安全なコアサーバ データを復号化できます。 このセキュリティ モデルは、バージョン2020で、既定で有効です。
管理対象デバイスの次の場所に、証明書が保存されます。
- C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker
3つのファイルがあります。
- broker.key:秘密鍵これは保護してください。権限があるのは、管理者のみです。
- broker.csr:コアに送信された証明書署名要求。
- broker.crt:X509証明書形式の公開鍵。