最上位の復号化を行うリレーの作成
アクションがデプロイされると、短い時間フレーム内に数千のクライアントが (通常はリレーに対して) レポートを返す可能性があります。これらのレポートを暗号化することを選択した場合、リレーはレポートを 1 つにまとめてサーバーに渡します。サーバーは、それを分割して、それぞれのレポートを復号化する必要があります。
何千ものクライアントがある場合、これによりサーバーに対して著しい計算負荷がかかる可能性があります。
パフォーマンスを向上させるために、最上位のリレーが復号化の大部分を実行できるようにすることで、サーバーの負荷を軽減することができます。50,000 を超えるクライアントがある場合、復号化の作業をリレー・チェーンに移すことによって、サーバーの負荷を大幅に削減できる可能性があります。リレーに独自の復号化キーがある場合、リレーはまずクライアント・メッセージを平文に復号化してから、数千のメッセージを単一のアーカイブにまとめることができます。これを圧縮し、暗号化して、サーバーに渡すことができます。その時点で、サーバーはアーカイブ全体に対して復号化を 1 回だけ実行すればよく、オーバーヘッドが著しく削減されます。
復号化タスクを分散させるには、暗号化キーを最上位リレーに配布します。通常のサーバー・レベルの暗号化の場合、HCL がユーザーに代わって暗号化キーを作成し、それをプログラム・フォルダーに入れます。
Windows システムの場合:
%PROGRAM FILES%\BigFix Enterprise\BES Server\Encryption KeysLinux システムの場合:
var/opt/BES Server/Encryption Keys負荷を最上位リレーに割り振るには、暗号化キーを、対応するリレー・ディレクトリーに入れます。
Windows システムの場合:
%PROGRAM FILES%\BigFix Enterprise\BES Relay\Encryption KeysLinux システムの場合:
var/opt/BES Relay/Encryption Keysこれらの最上位リレーは、受け取ったすべての文書を復号化し、それらを 1 つにまとめ、単一の署名によって再署名します。フォルダーにキーを必要な数だけ入れることができます。リレーは、暗号化されたクライアント・レポートを取得したときに、それぞれのキーの使用を試みます。クライアントは、マストヘッド・ファイルで検出したキーを使用して暗号化を行います。そのキーは、最後に作成されたキーでなければなりません。ただし、クライアントが、何らかの理由で最新のアクション・サイトを収集しなかった場合、古いバージョンのマストヘッド (すなわち異なる暗号化キー) を使用してレポートを送信する可能性があります。
最上位の暗号化を使用する場合は、以下のベスト・プラクティスについて考慮してください。
- 新しい暗号化キーを作成するたびに、キー・ファイルを手動でサーバーからリレーに転送する必要があります。
- 転送処理中に、秘密鍵ファイルを公開しないようにすることが重要です。これは、インターネットを介してキーを移動してはならないことを意味します。listen している誰かが秘密鍵ファイルのコピーを作成できる可能性があるからです。代わりに、USB キーなどを使用して、あるコンピューターから別のコンピューターへ物理的にキーを転送します。
- 暗号化キーの作成処理中に、秘密鍵ファイルを作成するが、マストヘッドに伝達しないという選択肢があります。このステップによって、クライアントがそのキーを使用して暗号化メッセージの送信を開始する前に、新しいキー・ファイルをリレーに転送する時間の猶予が与えられます。