BigFix Explorer での HTTPS のカスタマイズ

BigFix Explorer は、インストール時にデフォルトで HTTPS を使用するように構成され、インストール時に独自の証明書を作成します。これを変更するには、HTTPS を手動で設定する必要があります。

ファースト・ステップ

認証局からの信頼できる SSL セキュリティー証明書およびキーがある場合、BigFix Explorer でこの証明書とキーを使用してトラステッド接続を使用するように設定できます。自己署名証明書も使用可能です。

信頼された SSL 証明書がある場合、BigFix Explorer を実行しているコンピューターに .pvk ファイル (存在する場合) と .pem ファイルをコピーします。

以下のセクションでは、これらのマクロ・ステップを実装する方法を示します。

  • セキュア通信を使用することを指定します。
  • SSL 証明書ファイルおよび秘密鍵ファイルを配置する場所を指定します。
  • 関連サービスを再起動します。

以下のセクションで説明する構成を完了すると、Rest API と BigFix コンソールからの接続にこの信頼できる証明書が使用されます。

BigFix コンソールを使用した HTTPS のカスタマイズ

  1. BigFix コンソールから「コンピューター」タブを選択します。
  2. Rest API を実行するコンピューター (通常はサーバー) を選択し、「編集」メニューから「コンピューター設定の編集」を選択します。

  3. _BESExplorer_HTTPServer_SSLPrivateKeyFilePath という設定を探します。この設定が存在する場合は、2 つ目を作成せずに、その値を、秘密鍵 (サーバーの秘密鍵が格納されている .pvk ファイル) の絶対パス名に変更します。この秘密鍵にパスワードを設定することはできません。この設定が存在しない場合は、追加します。

  4. _BESExplorer_HTTPServer_SSLCertificateFilePath という設定を探します。この設定が存在する場合は、2 つ目を作成せずに、その値を .pem ファイルの絶対パス名に変更します。このファイルには、サーバーの証明書と秘密鍵の両方が格納される場合もあれば、証明書だけが格納される場合もあります。この設定が存在しない場合は、追加します。.pem ファイルが標準の OpenSSL PKCS7 .pem ファイル形式になっていることを確認してください。

    証明書は、サーバーから接続クライアントに渡されます。これらのクライアントは、証明書の情報を示すダイアログをユーザーに対して表示します。証明書が、接続するクライアントの信頼性要件をすべて満たす場合、クライアントはユーザーが介入しなくても接続します。証明書がクライアントの信頼性要件を満たしていない場合、接続を続行するかどうかを尋ねるダイアログがユーザーに対して表示されます。ユーザーは、証明書に関する情報にアクセスすることができます。信頼された証明書とは、Verisign などの信頼できる認証局によって署名され、正しいホスト名を持ち、期限切れになっていない証明書のことです。

  5. BES Explorer サービスを再始動します。
    • Windows の場合は、「サービス」を開き、「BES Explorer」を選択し、「操作」メニューで「再起動」をクリックします。
    • Linux の場合は、プロンプトで次を実行します。service besserver restart または /etc/init.d/besserver restart
注: これらの設定は、キー HKLM/Software/WoW6432Node/BigFix/EnterpriseClient/Settings/Client の下にあるレジストリーに保管されます。

HTTPS の手動カスタマイズ

認証局から信頼できる SSL セキュリティーと鍵 (.pem ファイル) が発行されている場合は、REST API を実行するコンピューター (通常はサーバー) を構成して、信頼できる接続をカスタマイズすることができます。

Windows システムの場合

Windows システムで HTTPS を手動でカスタマイズするには、以下の手順を実行します。

  1. regedit を実行し、HKEY_LOCAL_MACHINE\Software\Wow6432Node\BigFix\EnterpriseClient\Settings\Client を表示します。

    HTTPS フラグ用、および SSL 証明書のロケーション用のサブキーを追加または変更する必要があります。

  2. 重要: 秘密鍵ファイルと証明書ファイルを組み合わせた場合は、ステップ 3 に進みます。

    クライアントのサブキー _BESExplorer_HTTPServer_SSLPrivateKeyFilePath を作成します (まだ存在しない場合)。「value」という名前のストリング値 (reg_sz) をキーに追加し、それを秘密鍵 (サーバーの秘密鍵を含む .pvk ファイル) の絶対パス名に設定します。
  3. クライアントのサブキー _BESExplorer_HTTPServer_SSLCertificateFilePath を作成します (まだ存在しない場合)。「value」という名前のストリング値 (reg_sz) を追加し、それを SSL 証明書 (cert.pem) の絶対パス名に設定します。
  4. BES Explorer サービスを再開します。

Linux システムの場合

Linuxシステムで HTTPS を手動でカスタマイズするには、以下のステップを実行します。

ファイル cert.pempvtkey.pvk (ファイルがある場合) をファイル・システムの保護領域に保存します。この領域では、BigFix besserver プロセスによってアクセスできます 。例えば、 /etc/opt/BESServer/ です。

以下の項目を追加して、/var/opt/BESServer/besserver.config ファイルを編集します。

重要: 秘密鍵ファイルと証明書ファイルを組み合わせた場合は、これらの設定をスキップします。
[Software\BigFix\EnterpriseClient\Settings\Client\_BESExplorer_HTTPServer_SSLPrivateKeyFilePath]
value = /etc/opt/BESServer/pvtkey.pvk

[Software\BigFix\EnterpriseClient\Settings\Client\_BESExplorer_HTTPServer_SSLCertificateFilePath]
value = /etc/opt/BESServer/cert.pem

BigFix Explorer をいったん停止してから再起動します。