収集のための HTTPS のカスタマイズ
HTTPS プロトコルを BigFix サーバー上またはエアー・ギャップ環境内で使用することで、ライセンス更新および外部サイトを収集できます。
HTTPS プロトコルを有効にするには、クライアント・キーワードを設定する必要があります。
HTTPS を有効にしたら、信頼する証明書のパッケージを作成または (curl Web サイトから) ダウンロードすることができます。curl Web サイトでは、Mozilla に付属しているものと同じ証明書が含まれている事前作成パッケージが提供しています。
BigFix サーバーは、収集中に証明書の検証を開始します。その際、提供された証明書を信頼します。
HTTPS の有効化
HTTPS プロトコルを使用して外部サイトを収集するには、以下の手順を実行します。
BigFixサーバー上で:
クライアント・プロパティー _BESGather_Use_Https を 0、1、または 2 に設定します。
プロパティーを 0 に設定すると、サーバーは URL で定義されているプロトコルを使用します。
プロパティーを 1 に設定すると、サーバーは HTTPS プロトコルのみを使用してすべてのサイトの収集を試みます。
プロパティーを 2 に設定すると、サーバーは最初に HTTPS プロトコルを使用してすべてのサイトの収集を試みます。HTTPS を使用して収集できないサイトがあった場合、サーバーは HTTP プロトコルを使用してもう一度収集を試みます。HTTPS から HTTP へのフォールバックは、http:// から始まる URL を持つサイトにのみ適用されます。
この設定のデフォルト値は 2 です。
エアー・ギャップ環境内で:
以下のように Airgap コマンドを起動します。
Airgapサーバーは、最初に HTTPS プロトコルを使用してすべてのサイトの収集を試みます。失敗した場合、サーバーは HTTP プロトコルを使用してサイトを収集します。このリダイレクトは、URL が HTTP でハードコードされている場合のみ適用されます。これはデフォルトの動作です。
Airgap -usehttpsサーバーは、HTTPS プロトコルのみを使用してすべてのサイトの収集を試みます。
Airgap -no-usehttps サーバーは URL で定義されているプロトコルを使用します。
HTTPS 証明書の検証
デフォルトでは、HTTPS 接続を有効にするために使用される HTTPS 証明書は、BigFix サーバーのインストール済み環境に含まれている証明書バンドルを使用して検証されます。
C:\Program Files (x86)\BigFix Enterprise\BES Server\Reference\ca-bundle.crt/opt/BESServer/Reference/ca-bundle.crtHTTPS 収集の前に、信頼された証明書のカスタム・バンドルを使用して HTTPS 証明書を検証するには、以下の手順を実行します。
- 信頼された証明書セットを作成するか、ダウンロードします (例えば、http://curl.haxx.se/ca/cacert.pem)。使用できる証明書は、以下のとおりです。
- 「VeriSign Universal Root Certification Authority」 (サイト収集が目的の場合)
- 「thawte Primary Root CA - G3」 (ライセンス更新の確認が目的の場合)
- サーバー上で:
HTTPS プロトコルを使用するために、クライアント・プロパティー
_BESGather_Use_Httpsを1または2に設定します。_BESGather_CACertキーワードを、ダウンロード済みの信頼された証明書セットのパス (Windows システムではc:\TEM\certificates\custom-ca-bundle.crt、Linux システムでは/TEM/certificates/custom-ca-bundle.crtなど) に設定します。エアー・ギャップ環境内で:
以下のように、オプション-cacert <path>を指定してエアー・ギャップ・ツールを起動します。
ここで、Airgap -cacert <path><path>は、保存済みの信頼された証明書セットのパスです。