収集のための HTTPS のカスタマイズ
HTTPS プロトコルをサーバー上またはエアー・ギャップ環境内で使用すると、ライセンス更新および外部サイトを収集できます
HTTPS はデフォルトのプロトコルです。
HTTPS を有効にすると、信頼する証明書のパッケージを作成または (curl Web サイトから) ダウンロードできます。curl Web サイトでは、Mozilla に付属しているものと同じ証明書が含まれている事前作成パッケージが提供しています。
BigFix サーバーは、収集中に証明書の検証を開始します。その際、提供された証明書を信頼します。
HTTPS の管理
HTTPS プロトコルを使用して外部サイトを収集するには、以下の手順を実行します。
BigFixサーバー上で:
クライアント・プロパティー _BESGather_Use_Https
を 0
、1
、または 2
に設定します。
プロパティーを 0 に設定すると、サーバーは URL で定義されているプロトコルを使用します。
プロパティーを 1 に設定すると、サーバーは HTTPS プロトコルのみを使用してすべてのサイトの収集を試みます。
プロパティーを 2 に設定すると、サーバーは最初に HTTPS プロトコルを使用してすべてのサイトの収集を試みます。HTTPS を使用して収集できないサイトがあった場合、サーバーは HTTP プロトコルを使用してもう一度収集を試みます。HTTPS から HTTP へのフォールバックは、http://
から始まる URL を持つサイトにのみ適用されます。
この設定のデフォルト値は 2 です。
エアー・ギャップ環境内で:
以下のように Airgap
コマンドを起動します。
Airgap
サーバーは、最初に HTTPS プロトコルを使用してすべてのサイトの収集を試みます。失敗した場合、サーバーは HTTP プロトコルを使用してサイトを収集します。このリダイレクトは、URL が HTTP でハードコードされている場合のみ適用されます。これが、 デフォルトの動作です。
Airgap -usehttps
サーバーは、HTTPS プロトコルのみを使用してすべてのサイトの収集を試みます。
Airgap -no-usehttps
サーバーは URL で定義されているプロトコルを使用します。
HTTPS 証明書の検証
デフォルトでは、HTTPS 接続を有効にするために使用される HTTPS 証明書は、BigFix サーバーのインストール済み環境に含まれている証明書バンドルを使用して検証されます。
C:\Program Files (x86)\BigFix Enterprise\BES Server\Reference\ca-bundle.crt
/opt/BESServer/Reference/ca-bundle.crt
HTTPS 収集の前に、信頼された証明書のカスタム・バンドルを使用して HTTPS 証明書を検証するには、以下の手順を実行します。
- 信頼された証明書セットを作成するか、ダウンロードします (例えば、http://curl.haxx.se/ca/cacert.pem)。使用できる証明書は、以下のとおりです。
- 「VeriSign Universal Root Certification Authority」 (サイト収集が目的の場合)
- 「thawte Primary Root CA - G3」 (ライセンス更新の確認が目的の場合)
- サーバー上で:
HTTPS プロトコルを使用するために、クライアント・プロパティー
_BESGather_Use_Https
を1
または2
に設定します。_BESGather_CACert
キーワードを、ダウンロード済みの信頼された証明書セットのパス (Windows システムではc:\TEM\certificates\custom-ca-bundle.crt
、Linux システムでは/TEM/certificates/custom-ca-bundle.crt
など) に設定します。エアー・ギャップ環境内で:
以下のように、オプション-cacert <path>
を指定してエアー・ギャップ・ツールを起動します。
ここで、Airgap -cacert <path>
<path>
は、保存済みの信頼された証明書セットのパスです。