クライアントの暗号化の管理

機密情報への無許可アクセスを防ぐために、クライアントからサーバーおよびリレーへの通信を暗号化できます。これを有効にするには、キーを生成し、_BESClient_Report_Encryption という設定のためにクライアントに値を与える必要があります。デフォルトでは、この設定の値は オプション に設定されています。この値はコンソールで設定します。この値については、 の「 Enabling encryption on Clients」を参照してください。

Windows サーバーでは、キーは BigFix 管理ツールの「暗号化」タブで生成します。

1. 「スタート」>「すべてのプログラム」>「BigFix」>「BigFix 管理ツール」を選択して BigFix 管理ツールを起動します。
2. 「暗号化」タブを選択します。ダイアログの上部に、現在の状態を示す記述があります。

クライアントの暗号化には 4 つの状態(「無効」、「保留中」、「有効」、および「ローテーションの保留中」) があります。

無効

この状態は、暗号化証明書が適用マストヘッドに含まれていないことを示します。したがって、クライアントは、レポートを暗号化するように指示されても、暗号化できません。暗号化証明書 (および、受信終了時にレポートを復号化するために使用できる、対応する秘密鍵) を作成するには、「キーの生成」 をクリックします。状態は、「保留中」に設定されます。

保留

この状態では、暗号化証明書が生成されており、適用の準備ができていますが、復号化する必要があるすべてのリレーおよびサーバーに秘密鍵がまだ配布されていません。秘密鍵を手動で配布した場合、「暗号化の有効化」 ボタンをクリックして、証明書をマストヘッドに組み込み、それをすべてのクライアントに送信します。状態は、「有効」に設定されます。「無効」状態に戻るには 「キャンセル」 をクリックします。

使用可能

この状態では、適用マストヘッド内に暗号化証明書があり、したがって、適用環境内のすべてのクライアントに対して (前に説明した設定を使用して) 暗号化をオンにすることができます。いつでも 「新しいキーの生成」 をクリックすることで、新しい暗号化証明書を作成できます。これは、キー・ローテーション・ポリシーを使用する場合、または暗号化キーがこれまでに漏えいされたことがある場合 (次のセクションを参照) に役立ちます。新しいキーを生成すると、「保留中」状態に戻ります (ただし、次のセクションで説明するように、直ちに適用することを選択した場合は除きます)。また、「無効」 をクリックして、「無効」状態に戻ることもできます。

ローテーションの保留中 (Pending Rotation)

この状態では、暗号化証明書が適用マストヘッドに組み込まれており、新しい証明書が生成されていて、既存の証明書と置き換える準備ができています。

Linux サーバーでは、スーパーユーザーとして以下のステップを実行することによりクライアントを暗号化できます。

1. 以下を実行してキーを生成します。

   ./BESAdmin.sh -reportencryption -generatekey -privateKeySize=max -deploynow=yes 
   -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password>

2. 以下を実行してキーをアクティブにします。

   ./BESAdmin.sh -reportencryption -enablekey -sitePvkLocation=<path+license.pvk> 
   -sitePvkPassword=<password>

./BESAdmin.sh -reportencryption -h