クライアント認証

最新の業界標準に準拠するため、製品バージョン 10.0.7 以降での BigFix エージェントのクライアント証明書の有効期間は 13 カ月となります。

以下のセクションで説明するいくつかの特定のケースを除き、13 カ月のクライアント証明書とその後の管理への移行は自動的に行われます。手動での対応は必要ありません。

クライアント証明書の有効期間

製品バージョン 10.0.6 までは、 BigFix エージェントには 10 年の有効期間を備えたクライアント証明書が付属します。

最新の業界標準では、製品バージョン 10.0.7 以降で最大 13 カ月の SSL/TLS 証明書が提供されるため、 BigFix エージェントは 13 カ月の存続期間標準に準拠するようクライアント証明書を自動的に更新します。

BigFix エージェントでの 13 カ月のクライアント証明書への自動移行

最初の登録試行でバージョン 10.0.7 にアップグレードされた後、エージェントが接続されている BigFix サーバーまでのリレー・チェーンが完全に 10.0.7 レベル (またはそれ以降) である場合、BigFix エージェントは自律的に 10 年のクライアント証明書から 13 カ月の証明書に切り替えます。

この条件が満たされない限り、 BigFix エージェントは 10 年の証明書を保持し、この制限を含めずに必要に応じて使用し続けます。あるいは、後で完全に 10.0.7 レベル (またはそれ以降) のリレー・チェーンを介して登録を実行できる場合、BigFix エージェントによる 13 カ月の証明書に自律的に切り替える機能は損なわれます。

BigFix エージェント 10.0.7 が 10 年のクライアント証明書から 13 カ月の証明書に切り替えると、次の 2 行が標準クライアント・ログ・ファイル (YYYYMMDD.log) に記録されます。

The current Client certificate validity (3650 days) does not match the value 
specified in the masthead (398 days), starting the certificate update process now.
Completed Client certificate update.

BigFix エージェントでの 13 カ月のクライアント証明書の自動保守

13 カ月のクライアント証明書に切り替えると、BigFix エージェントは現在の証明書の有効期限が近づいた際に証明書の更新を要求して、自律的に最新の状態を維持します。これは通常、シャットダウン、障害、または予期しないイベントの可能性がある期間に対処するのに十分な期間を持つため、有効期限の 45 日前に発生します。

10.0.7 レベルの BigFix エージェントが 13 カ月のクライアント証明書の更新を取得すると、次の 2 行が標準クライアントログファイル (YYYYMMDD.log) に記録されます。

Client Certificate expires in N days, HH:MM:SS, refreshing it now.
Completed Client certificate update.

BigFix エージェントが有効期限が切れる前に証明書を更新できない場合、認証リレーに接続されているのであれば、手動の手順を実行して、BigFix デプロイメントへの再接続を許可する必要があります。手順は 期限切れのクライアント証明書から復旧する方法 で説明されています。

クライアント証明書のステータスを監視する方法

デプロイメントの BigFix エージェントにおけるクライアント証明書の状況を監視するには、BES サポートのクライアント証明書情報分析を有効にします。BigFix エージェントごとに、分析では以下の情報が提供されます。
  • クライアント証明書の有効期限: クライアント証明書の有効期限。
  • クライアント証明書の全体的な妥当性: クライアント証明書の全体的な妥当性。
  • クライアント証明書の有効期限: クライアント証明書の残りの有効期間。

期限切れのクライアント証明書から復旧する方法

BigFix エージェントのクライアント証明書の期限が切れており、到達できるのがネットワーク上の認証リレーのみの場合、BigFix エージェントに対して以下のコマンドを手動で実行すると、エージェントは認証リレー経由で更新された証明書を取得できます。

BESClient -update-certificate <password> http://<relay>:52311

このコマンドには、認証リレーが更新要求を上方に転送する前に確認するパスワードが含まれています。認証リレーは 10.0.7 レベル (またはそれ以降) である必要があります。

認証リレーのパスワードは、以下のように構成できます。
  • リレーで定義される、クライアント設定 _BESRelay_Comm_KeyExchangePassword 経由で設定された単一パスワード。
  • ManualUpdateCertificatePasswords という名前のファイルに保管され、リレーのストレージ・ディレクトリー内で保存される、ワンタイム・パスワードの改行区切りリスト (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\Enterprise Server\GlobalOptions の値 StoragePath)。
注: パスワードは ASCII 文字のみを使用する必要があります。
注: 手動コマンドの一部として平文パスワードを指定したくない場合は、次の代替構文により、パスワードを表示せずに入力するよう求められます。
  • Windows: cmd /c BESClient.exe -update-certificate http://<relay>:52311
  • Linux: BESClient -update-certificate http://<relay>:52311
  • Mac: BESAgent -update-certificate http://<relay>:52311

クライアント証明書の更新を強制する方法

次の新しい actionscript コマンドを使用するアクションをターゲットに設定すると、任意の時点でクライアント証明書を更新するよう 10.0.7 レベルの BigFix エージェントに強制できます。

client certificate refresh

BigFixエージェントはクライアント証明書を自律的に保守できるため、通常の条件下BigFixでは、オペレーターはこのコマンドを使用する必要はありません。ただし、このコマンドが役立つ場合があります。例えば、45 日の証明書更新ウィンドウが証明書の有効期限を保証するのに適していない特定の状況に対処するため、 BigFix オペレーターが証明書の更新を予想する場合などです。

注: このコマンドはリレー・チェーンのバージョンに関係なく、証明書の更新を要求するよう BigFix エージェントに強制します。その結果、リレー・チェーンが完全に 10.0.7 レベル (またはそれ以降) ではない場合、このコマンドにより BigFix エージェントは 10 年の有効期間を有する更新済みの証明書を取得します。この場合、エージェントは BigFix エージェントでの 13 カ月のクライアント証明書への自動移行 で 説明されているロジックの適用に再度切り替えます。このロジックにより、10 年の証明書から 13 カ月の証明書への移行が可能になります。