暗号化を使用したDistributionのセキュリティ
Policy and Distribution Servicesには、Distributionをセキュリティで保護されたネットワークの外部に送信するときに、その内容への承認されていないアクセスを防止するために、Distributionを暗号化するオプションが用意されています。通常、セキュリティで保護されているネットワーク内で送信されるDistributionを暗号化する必要はありません。
Distributionの暗号化は2段階の処理です。
- ConsoleOneでDistributionのプロパティの[Encrypt]チェックボックスをオンにして、暗号化のレベル(強または弱)を選択します。
- 暗号化セキュリティ証明書ファイルを手動で作成し、DistributorサーバとSubscriberサーバの間でコピーします。
重要: セキュリティのために、フロッピーディスクなどの物理メディアを使用して、ネットワークサーバ間で証明書を転送します。
その後、Distributionは暗号化されたDistributionとして送信されます。
Distributionの暗号化については、次の節を参照してください。
暗号化証明書の作成とコピー
RSA PKIには、暗号化されたDistributionで使用されるセキュリティプロセスが用意されています。
暗号化証明書は証明書署名要求(.csr)ファイルから作成されます。各Subscriberサーバには、特定のDistributor用の暗号化証明書を作成するためのテンプレートとして使用できる.csrファイルが含まれています。
暗号化証明書(.cer)は、暗号化されたDistributionの安全な送信を保証するためにSubscriberによって使用されます。.cerファイルの受け渡しをネットワーク経由で行うと、Distributionの暗号化キーが漏洩する可能性があります。したがって、証明書ファイルに含まれている暗号化キーを保護するには、暗号化セキュリティ証明書を手動でコピーする必要があります。
重要: ファイルブラウザは伝送ケーブルを使用し、漏洩の可能性があるので、ファイルブラウザを使用して証明書を手動でコピーしないでください。代わりに、フロッピーディスクなどの外部メディアに証明書をコピーし、それを物理的にDistributorサーバからSubscriberサーバに運びます。
Subscriberで暗号化証明書を使用するには、まず証明書を解決し、暗号化されていないDistributorを各Subscriberに送信する必要があります。
証明書の解決については、証明書の解決を参照してください。
次の図は、暗号化証明書を手動でコピーする処理を示しています。
Distributorは.csrに署名して暗号化.cerファイルを作成します。このファイルを手動でDistributorからSubscriberにコピーして、Subscriberサーバ上の現在の暗号化されていない.cerファイルを置き換えます。
Distributionを抽出するには、暗号化証明書が必要です。Subscriberが、DistributionのChannelを購読しているSubscriberに暗号化されたDistributionを渡す親Subscriberとしてのみ機能している場合は、親Subscriberサーバに暗号化証明書は必要ありません。
暗号化されたDistributionの証明書を作成するには
-
暗号化するDistributionを指定します。
-
このDistributionを所有しているDistributorを指定します。
-
暗号化されたDistributionを受信するSubscriberを指定します。
-
選択したDistributorの証明書を選択したSubscriberに解決して、暗号化されていないDistributionをDistributorからSubscriberに送信します。
証明書の解決については、証明書の解決を参照してください。
-
このDistributorおよびSubscriberのファイルシステムにアクセスします。
-
各Subscriberの次のディレクトリにあるすべての.csr証明書ファイルを、Distributorの同じパスにコピーします。
\zenworks\pds\ted\security\csr
このパスは、ZENworks Server Managementのインストールに使用した場所から始まります。
証明書署名要求(.csr)を使用して暗号化証明書ファイルが作成されます。
-
ConsoleOneで、Distributorオブジェクトを右クリックし、[Sign CSR Files]をクリックし、署名する.csrファイルを選択して[Sign]をクリックします。[Success]ダイアログボックスの[OK]をクリックし、[Close]をクリックします。
複数の.csrファイルを選択して、同時に署名できます。
これによって、Subscriberからコピーした.csrファイルと同じDistributorのディレクトリに、証明書(.cer)ファイルが作成されます。.csrファイルごとに.cerファイルが1つ作成されます。
iManagerを使用してこの手順を実行することもできます。
-
各ターゲットSubscriberについて、次の操作を行います。
-
暗号化されたDistributionを送信します。
警告: 次のような状況では、作成した暗号化証明書を上書きして使用できます。
1. 暗号化されたDistributionに関連するChannel、Subscriber、またはDistributionを変更します。
2. これによって、証明書をコピーするかどうかを確認するメッセージが表示されます。
3. [Yes]を選択すると、暗号化されたDistributionが送信され、Subscriberによって受信される前に、
a. 暗号化.cerファイルは各Subscriber上で暗号化されていない.cerファイルによって上書きされます。
b. SubscriberはDistributionを受信したときに暗号化を解除できません。これは、.cerファイルが暗号化キーを含まない.cerファイルによって上書きされたからです。
暗号化されたDistributionが各Subscriberに送信されると、暗号化.cerファイルがSubscriberサーバのファイルシステム上の.keystoreファイルに移動されるので、上書きできません。これ以降は、このような状況で[Yes]を選択して証明書をコピーできます。
