サーバ管理 › 保護エージェント

保護エージェント

CA Configuration Automation では、サーバは SSL で保護された接続を使用して CA Configuration Automation エージェントと通信することができます。 ［エージェントの保護］オプションを使用すると、CA Configuration Automation エージェント セキュリティに必要な SSL 証明書を作成することができます。

保護された通信には、サーバ側とエージェント側の両方で識別のための証明書が必要です。 エージェント通信を保護するには、事前に認証局を作成しておく必要があります。 詳細については、「セキュリティ証明書の作成および管理」を参照してください。

注：  SSH プロキシでエージェント セキュリティを使用することはできません。また、［アクセス プロファイル］の［エージェント モード］に［手動で設定されたエージェント］の選択肢を使用する必要があります。

［手動エージェント］から［保護されたエージェント］に切り替える場合、選択したサーバに関連付けられたアクセス プロファイルは以下のように変更されます。

• 事前定義済みアクセス プロファイル（CA Configuration Automation インストール プログラムによってインストールされた次のプロファイルのうちの 1 つ： ［手動エージェント］、［ポート プローブ］、［保護されたエージェント］、［自己登録済み］、［SSH］、［WMI］、または［WMI - SSH］）を使用している場合、新しいアクセス プロファイルが作成されます。 この新規プロファイルは以下のようになります。
  • ［手動エージェント］<timestamp> 規則に従って名前が自動的に割り当てられる（たとえば、［手動エージェント］<timestamp1>、［手動エージェント］<timestamp2> など）
  • ［保護エージェント］として定義される（つまり、［サーバ アクセス プロファイルの編集］ダイアログ ボックスの［アクセス モード］タブで［保護エージェント］チェック ボックスがオンになっている）
  • ［アクセス プロファイル］タブのテーブルにリスト表示される
  • 選択したサーバに割り当てられる
• 複数のサーバによって使用されるユーザ定義アクセス プロファイルを使用している場合、新しいアクセス プロファイルが作成されます。 この新規プロファイルは以下のようになります。
  • <user-assigned_name><timestamp> 規則に従って名前が変更される（たとえば、TestProfile というプロファイルを作成して使用している場合、新規プロファイルは、次のようにタイム スタンプが付加された名前になる。TestProfile<timestamp1>、TestProfile<timestamp2> など）
  • ［保護エージェント］として定義される（つまり、［サーバ アクセス プロファイルの編集］ダイアログ ボックスの［アクセス モード］タブで［保護エージェント］チェック ボックスがオンになっている）
  • ［アクセス プロファイル］タブのテーブルにリスト表示される
  • 選択したサーバに割り当てられる
• 選択したサーバのみによって使用されるユーザ定義アクセス プロファイルを使用している場合、現在のアクセス プロファイルのアクセス モードが［保護エージェント］に変更されます（つまり、［保護エージェント］チェック ボックスがオンになります）。 新しいアクセス プロファイルは作成されません。

1 つ以上のサーバの CA Configuration Automation エージェントを保護する方法

1. ［管理］リンクをクリックし、次に［サーバ］タブをクリックします。

   ［サーバ］タブのページが表示されます。

2. 保護対象のサーバの隣にあるチェック ボックスをオンにして（［サーバ］テーブルの［インストール済みエージェント］列では、エージェントがインストールされているサーバにチェック マークが付きます）、［アクションの選択］ドロップダウンリストから［エージェント アクション］ - ［エージェントの保護］を選択します。

   ［保護エージェント］ダイアログ ボックスが表示されます。

3. 以下のフィールドに適切な情報を入力し、［OK］をクリックします。

   エージェントの証明書パスワード

   証明書のパスワードを指定します。

   再度パスワード テキストを入力します。 .

   パスワードの確認

   ［エージェントの証明書パスワード］フィールドに入力されたパスワードを確認します。 2 つのパスワードは同一である必要があります。

   認証局パスワード

   エージェント証明書の作成に必要な認証局パスワードを指定します。

   CA Configuration Automation は、エージェントの証明書を作成し、この新しい証明書をエージェント インストール ディレクトリにインストールし、セキュアな接続のみを受け付けるようにエージェントを設定し、新しい構成でエージェントを再起動します。 CA Configuration Automation がこれらの手順を正常に完了した後、［サーバ］テーブルの［アクセス モード］列に［保護エージェント］と表示されます。

アンセキュアなエージェントに戻す方法

1. 以下のいずれかを実行して、エージェントをアンセキュアに設定するサーバのアクセス プロファイルを編集します。
   • ［アクセス モード］タブの［保護エージェント］チェック ボックスをオフにし、次に、［OK］をクリックします。
   • 既存のアクセス プロファイルを変更しない場合（他のサーバがそのアクセス プロファイルを使用している可能性がある場合）、［保護エージェント］モードを使用しない新規プロファイルを割り当てます。
2. CA Configuration Automation エージェント インストール ディレクトリに移動し、セキュア オプションを 0 （ゼロ）に変更して agent.conf ファイルを手動で編集した後、エージェントを再起動します。

   エージェントはアンセキュア モードで実行されます。