REST API での HTTPS のカスタマイズ

信頼できる SSL セキュリティー証明書と鍵が認証局から発行されている場合は、この証明書と鍵を使用して信頼できる接続を有効にするように BigFix ルート・サーバーを構成できます。構成の完了後は、REST API およびコンソールからの接続にこの信頼できる証明書が使用されます。

1. BigFix コンソールから「コンピューター」タブを選択します。
2. Rest API を実行するコンピューター (通常はサーバー) を選択し、「編集」メニューから「コンピューター設定の編集」を選択します。
3. _BESRelay_HTTPServer_UseSSLFlag という設定を探します。存在する場合は、新たに作成せずに、その値を編集して 1 にし、HTTPS を有効にします。存在しない場合は、以下のように追加します。
   
   
   重要: 秘密鍵ファイルと証明書ファイルを組み合わせた場合は、次のステップをスキップして、_BESRelay_HTTPServer_SSLCertificateFilePath のみを設定してください。
4. _BESRelay_HTTPServer_SSLPrivateKeyFilePath という設定を探します。この設定が存在する場合は、2 つ目を作成せずに、その値を、サーバーの秘密鍵が格納されている秘密鍵 (.pvk ファイル) の絶対パス名に変更します。この秘密鍵にパスワードを設定することはできません。この設定が存在しない場合は追加します。
5. _BESRelay_HTTPServer_SSLCertificateFilePath という設定を探します。この設定が存在する場合は、2 つ目を作成せずに、その値を .pem ファイルの絶対パス名に変更します。このファイルには、サーバーの証明書と秘密鍵の両方が格納される場合もあれば、証明書だけが格納される場合もあります。この設定が存在しない場合は、以下のように追加します。
   
   .pem ファイルが標準の OpenSSL PKCS7 .pem ファイル形式になっていることを確認してください。

   証明書は、サーバーから接続クライアントに渡されます。これらのクライアントは、証明書の情報を示すダイアログをユーザーに対して表示します。証明書が、接続するクライアントの信頼性要件をすべて満たす場合、クライアントはユーザーが介入しなくても接続します。証明書がクライアントの信頼性要件を満たしていない場合、接続を続行するかどうかを尋ねるダイアログがユーザーに対して表示されます。ユーザーは、証明書に関する情報にアクセスすることができます。信頼された証明書とは、Verisign などの信頼できる認証局によって署名され、正しいホスト名を持ち、期限切れになっていない証明書のことです。

6. TLS12 を要求するために、_BESRelay_HTTPServer_RequireTLS12 を探します。存在する場合は、新たに作成せずに、その値を編集して 1 にします。
   注: REST API コンポーネントは、ローカルの設定やマストヘッドの設定に関係なく、BigFix サーバーと通信する際に必ず TLS 1.2 を使用します。
7. BES ルート・サーバー・サービスを再始動します。
   • Windows の場合は、「サービス」を開き、「BES Root Server」を選択し、「操作」メニューで「再起動」をクリックします。
   • Linux の場合は、プロンプトで次を実行します。service besserver restartまたは /etc/init.d/besserver restart