V11 の概要

以前の BigFix バージョンと比較して、マニュアル・アップグレードと Fixlet のアップグレード・オプションと手順に関する変更はありません。唯一の主な違いは、次の前提条件を満たす必要がある BigFix Server のアップグレードに関することです。

• BigFix 10.0.7 は、BigFix Server コンポーネントのバージョン 11 へのアップグレードをサポートする最小バージョン
• 「強化されたセキュリティー」が使用可能になっている必要があります (セキュリティー設定シナリオ)

Linux では、次のコマンドを実行します:

/opt/BESServer/bin/BESAdmin.sh -securitysettings -enableEnhancedSecurity 
-sitePvkLocation=<path+license.pvk> [ -sitePvkPassword=<password> ]

「強化されたセキュリティー」を使用可能にすると、BigFix Server データベース内のオブジェクトは再署名されます。アップグレードを続行する前に、次の説明に従って、BESAdmin コマンド・ラインを findinvalidsignatures オプションを指定して実行し、無効なデータをチェックすることを推奨します。

• findinvalidsignatures Linux プラットフォームでは:
• findinvalidsignatures Windows プラットフォームでは:

BigFix 11 へのアップグレードを開始した後、デプロイメントがすべてバージョン 11 になっていなくても、次の利点が得られます。

• TLS ハンドシェイクは、使用可能なときはいつでも SHA-384 証明書を使用します。BigFix Server を v11 にアップグレードした後、SHA-384 証明書は次の目的で使用可能になります。
  • バージョン 11 のすべてのエージェント/リレー
  • 13 ヶ月の有効期間の終了時に自動的に、または「クライアント証明書更新」アクション・スクリプト・コマンドを使用して手作業で証明書を更新した、10.0 パッチ 7 (またはそれ以降のパッチ) のエージェントとリレー (クライアント証明書を参照)
  • バージョンに関係なく、BigFix Server をバージョン 11 にアップグレードした後にインストールされたすべてのエージェントとリレー
• MO と NMOS によって生成されたサイト、Fixlet、分析、アクションなどのコンテンツは、SHA-256 と SHA-384 の両方で署名されます。そのようなコンテンツを検証するために、v11 の BigFix コンポーネントは両方に依存しますが、以前のバージョンの BigFix コンポーネントは SHA-256 署名に依存します。
• BigFix Server は、SHA-256 または SHA-384 署名を使用して外部サイトのコンテンツを検証します。
• BigFix Server は、SHA-256 または SHA-384 を使用して署名されたエージェント・レポートを処理します。
• BigFix Platform 11 は TLS 1.2 と TLS 1.3 の両方をサポートしますが (TLS 1.3 は常に最初に試行されるオプション)、HTTPS を必要とするシナリオで TLS 1.1 以下をサポートしなくなります。

施行は BigFix 管理ツール (セキュリティー) を使用して行うことができ、次のような影響があります。

• サイト、Fixlet、分析、アクションなどのような MO と NMOS によって生成されたコンテンツは、SHA-384 のみで署名されます。したがって、バージョン 11 のエージェントとリレーのみが検証および処理できるようになります。
• BigFix Server は、SHA-384 署名にのみ依存する外部サイトのコンテンツを検証します。
• BigFix Server は、SHA-384 を使用して署名されたエージェント・レポートのみを処理します。

施行は BigFix 管理ツール (セキュリティー) を使用して行うことができ、次のシナリオに影響します。

• BigFix コンポーネント間の内部 HTTPS 通信
• BigFix コンポーネントが HTTPS サーバーとして機能する HTTPS 通信 (BigFix Server に接続する REST API クライアント、またはリレー診断ページに接続するブラウザーなど)
• BigFix Server による外部サイトの収集