エージェントのアクティベーション中、エージェントはServer & Workload Protectionコンソールの証明書をエージェントに固定することでコンソールの身元を認証できます。これは、接続するコンソールの証明書パスを検証し、信頼された認証局 (CA) によって署名されていることを確認することで行います。証明書パスが検証されると、コンソール認証が通過し、エージェントがアクティベートされます。これにより、Server & Workload Protectionを装った悪意のあるサーバーでエージェントがアクティベートされることを防ぎます。
エージェントを保護するために、エージェントがアクティブ化を試みる前に、各エージェントが認証されたマネージャーを認識できるように設定する必要があります。
手順
- Sectigo Intermediate Certificates - RSAに移動します。
- ルート証明書 > SHA-2 ルート : USERTrust RSA Certification Authority の下にある ダウンロード をクリックします。
- エージェントコンピューターで、ダウンロードした証明書をサーバーにコピーし、
ds_agent_dsm_public_ca.crt
に名前を変更してください ds_agent_dsm_public_ca.crt
ファイルを次のいずれかの場所に移動してください。- Windowsで:
%ProgramData%\Trend Micro\Deep Security Agent\dsa_core
- LinuxまたはUnixの場合:
/var/opt/ds_agent/dsa_core
- Windowsで:
トラブルシューティング
エージェントバージョン20.0.1412+をアクティベートする場合、アクティベーション時に次のエラーメッセージが表示されます。これは、Server & Workload Protectionの証明書をエージェントにピン留めしていないことを示しています。
"[警告/2] | SSLVerifyCallback () - 検証エラー20: ローカル発行者証明書を取得できません"
信頼された証明書のピン留めは任意であり、該当しない場合はこのエラーを無視できます。ただし、信頼された証明書を使用するには、エージェントを有効化する前に提供された手順に従ってください。