SSLエージェント

PAM360では、エージェントからネットワーク全体に展開されるSSL証明書を検出できます。リモートマシンの証明書管理操作で使用されるエージェントは、 PAM360により動的に作成されています。

1. SSLエージェントのダウンロード
2. SSLエージェントのインストール
3. SSLエージェントの管理 
4. エージェントを使用したSSL証明書の検出
5. エージェントを使用した証明書への署名
6. エージェントを使用した証明書の展開
7. エージェントを使用して複数のサーバーに証明書を展開する
8. エージェントの削除

1.SSLエージェントのダウンロード

リモートマシンの証明書管理操作で使用されるエージェントは、 PAM360 Ｓｅｒｖｅｒにより動的に作成され、インターフェイス内からダウンロードが可能です。SSL Windowsエージェントをダウンロードするには：

1. [証明書] >> [検出] >> [エージェント] >> [Windowsエージェントのダウンロード]の順に移動します。
2. 開いたポップアップから、サーバー構成に基づいてエージェントをダウンロードします。また、インストールキーをコピーして安全な場所に保存します。
   

2.SSLエージェントのインストール

エージェントをダウンロードしたら、以下の手順に従ってターゲットサーバーにインストールします。ダウンロードしたパッケージには、必要な操作を実行するために必要な構成が既に含まれています。エージェントがインストールされているサーバーのアカウントに、証明書の検出を実行するための十分な権限があることを確認してください。

SSLエージェントをWindowsサービスとしてインストールする手順：

1. PAM360 Serverからダウンロードした.zipファイルをターゲットサーバーに移動します。
2. コンテンツを解凍して、共有されていないフォルダのファイルに入れます。
3. コマンドプロンプトを開き、エージェントのインストールディレクトリに移動して、次のコマンドを入力します: AgentInstaller.exe install < Install Key >（安全な場所に保存されているインストールキーを提供する）。

注記：インストールキーは、1回のインストールで使用された後に取り消されます。エージェントの別のインストールを実行する場合、インストールキーをPAM360 Serverから再生成し、エージェントサーバーに入力する必要があります。

エージェントをWindowsサービスとして開始する手順：

1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
2. 次のコマンドを実行します：AgentInstaller.exe start。

インストールが正常に完了したら、サービスとして実行されているSSLエージェントがターゲットサーバーで特定できます。

エージェントを停止する手順：

1. コマンドプロンプトを開き、SSLエージェントインストールディレクトリに移動します。
2. 次のコマンドを実行します：AgentInstaller.exe stop

3.SSLエージェントの管理

PAM360で、管理者はエージェントアクティビティについてのインサイトが得られ、各種ターゲットリソースにインストールされたエージェントを管理できます。

SSLエージェントを管理するには：

1. [証明書] >> [Windowsエージェント]の順に移動します。
2. 開いたウインドウで、ホスト名、IPアドレス、ユーザー名、 バージョン、 インストールした時間、ハートビート間隔、 最新ハートビート,および最後に実行した操作等のいンサイトとあわせて、リモートリソースにいンストールされたSSLエージェントのリストが表示されます。
3. エージェントを削除する場合は、エージェントを選択し、トップメニューから[削除]をクリックして削除できます。
   

4.エージェントを使用したSSL証明書の検出

1. [証明書] >> [Windowsエージェント]の順に移動し、エージェントを選択します。
2. ［検出］をクリックします。
3. 表示されるポップアップで、
   1. DMZを選択し、DMZのサーバーから証明書を検出します。
   2. 次の条件で検出しますホスト名/IPアドレスまたはIPアドレス範囲。
   3. 次の条件で検出する場合ホスト名/IPアドレス、その場合はホスト名/IPアドレス、タイムアウト（秒単位）、ポートを指定し、[検出]をクリックします。
   4. ローカルCA証明書のエージェントベースの検出を実行するには、証明書ストアまたはMicrosoft認証局を選択します。
   5. 証明書ストアを選択した場合は、ストア名とタイムアウト（秒単位）、ポートを入力します。
   6. ストア名を取得するには、[ストアの取得]リンクをクリックし、ドロップダウンから選択して[検出]をクリックします。
   7. Microsoft認証局を選択した場合は、必要なチェックボックスを選択し、必要な詳細を入力します。テンプレート名/ODIを選択した場合は、テンプレート名を指定するか、[テンプレートの取得]をクリックしてテンプレートのリストを取得します。ドロップダウンから最大5個のテンプレートを選択できます。タイムアウト(秒単位)を記載し、［検出］をクリックします。
      
4. 証明書が正常に検出され、PAM360中央証明書リポジトリにインポートされます。これらは、[証明書]>>[Windows エージェント]から表示できます。
   
5. 証明書の検出後、エージェントのホスト名をクリックして、その特定のエージェントに関連づけられているすべての証明書を表示します。
   

5.エージェントを使用した証明書への署名

1. [証明書] >> [Windowsエージェント] >> ［検出］の順に移動し、エージェントを選択します。
2. 証明書テンプレートを選択するか、［テンプレートを取得］リンクをクリックして、新しいテンプレートを取得します。
3. エージェントが応答する必要がある秒単位のエージェントタイムアウトについて説明します。エージェントがタイムアウト期間内に応答しない場合、操作は失敗として監査されます。
4. ドロップダウンからCSRを選択し、[署名]をクリックします。
   

これで、証明書が正常に署名され、リポジトリで使用できるようになります。

6.エージェントを使用した証明書の展開

1. [証明書] >> [Windowsエージェント]に移動し、エージェントを選択します。
   
2. [展開]をクリックして、ドロップダウンから必要なサーバーを選択します。
   1. Windows(エージェントを使って)を選択する場合、［証明書グループ］を選択し、パスを記載、チェックボックス証明書および/またはJKS/PKCSを要件にあわせて選択し、［展開］をクリックします。
   2. MS Store(エージェントを使って)を選択する場合、［証明書グループ］を選択し、［展開］をクリックします。
   3. IIS(エージェントを使って)を選択する場合、［証明書グループ］を選択し、［展開］をクリックします。
   4. IISバインディング(エージェントを使って)選択する場合、［証明書グループ］を選択し、サイト名を記載し、［バインディングを取得］をクリックします。
   5. [管理]リンクをクリックして、証明書グループを管理します。
   6. [保存]をクリックして変更を保存します。
3. これで、証明書が展開され、[SSL]タブで使用できるようになります。

7.エージェントを使用して複数のサーバーに証明書を展開する

1. [証明書] >> [証明書]タブの順に移動し、必要な証明書に対応する複数のサーバーアイコンをクリックします。
2. ウィンドウが開き、証明書が展開されているサーバーと、IPアドレス、ポート、証明書の有効性などの他の情報が一覧表示されます。
3. DNS名はエージェントの名前と同じである必要があり、このエージェントはDNSサーバーの下で実行されている必要があります。
4. サーバーの詳細を変更するには、必要な証明書に対応する認証情報アイコンをクリックします。
   1. 展開タイプをエージェントとして選択します。
   2. ［サーバータイプ］を選択し、必要なエージェントを修正します。
   3. パスに言及し、必要なチェックボックスを選択します。
   4. [証明書]を選択した場合は、証明書ファイル名を入力します。
   5. JKS / PKCSを選択する場合は、ストアファイル名を指定します。
   6. サーバータイプを as Microsoft証明書ストアとして選択する場合、［コンピューター］を選択、および/または［ユーザーアカウント］を選択し、証明書を選択したアカウントに展開します。
      
   7. 次に、［展開後にMS 証明書ストアからj秘密鍵のエクスポートを有効化］を選択して、証明書ストアから秘密鍵をエクスポートします。
   8. [保存]をクリックします。
5. 展開されたサーバーを編集するには、必要な証明書に対応する編集アイコンをクリックします。
   1. 表示されるポップアップで、DNS名、IPアドレス、およびポートを編集できます。
   2. 自動更新時にすべてのサーバーに証明書を展開することを選択できます。 
   3. [保存]をクリックします。

   注記：自動更新時にすべてのサーバーに証明書を展開できるのは、ユーザーの認証情報が利用可能な場合のみです。

6. 更新後に証明書を自動展開するには、目的の証明書を選択して[編集]ボタンをクリックします。
   1. [有効にする]を選択し、表示されるポップアップで[保存]をクリックします。 
7. 同期ステータスをエージェント使ってチェックするには、必要な証明書を選択し、［編集］ボタンをクリックします。
   1. ［エージェントと同期化チェック］を選択し、［保存］をクリックします。
8. ［追加］をクリックして、展開されたサーバーを追加します。
   1. 表示されるポップアップで、DNS名、IPアドレス、およびポートを指定します。
   2. 自動更新時にすべてのサーバーに証明書を展開することを選択できます。
   3. [保存]をクリックします。
   4. また、 ［証明書］>> ［証明書］ >> ［その他］ >> ［展開したサーバーを追加］から、展開したサーバーを追加することもできます。
      
9. サーバーの動機ステータスをチェックするには、サーバーを選択し、上部ペインの［ステータスをチェック］をクリックします。
10. これで、PAM360が同期ステータスをチェックし、対応するサーバーの列に表示します。
    

これで、エージェントを使用して証明書が正常に展開されました。SSL証明書の展開についての詳細は、ここをクリックしてください。

8.エージェントの削除

1. [証明書] >> [Windowsエージェント]に移動し、削除する必要のあるエージェントを選択して、[削除]をクリックします。
2. 表示されるポップアップで、[OK]をクリックします。
3. 証明書はリストから削除されます。