Graphics Agent for Linux Administrators' Guide
This content has been translated by a Machine Translation (MT) service without human intervention. HP Inc. is not liable for any inaccuracies.
Accurate translation requires detailed understanding and knowledge of both languages which cannot today be achieved automatically, therefore MT translations are likely to be imperfect. This MT service is provided by Microsoft®️ Translator. HP Inc. is not liable for any inaccuracies. The automated translation results are approximation of the original, and therefore should not be used with customer-facing materials. Translation quality and accuracy will vary, depending on the quality of the original text and on the choice of target language. Any reliance you place on the results is at your own risk.

Anyware Agents のセキュリティ証明書

PCoIP ではセッションを確立する証明書が必要です。デフォルトでは、Anyware Agents は PCoIP セッションを保護する自己署名証明書を生成します。PCoIP システムの各コンポーネントは、これらの自己署名証明書を生成でき、それらは何の構成も必要とせずに自動的に連携します。

必要ならば、HPの自己署名証明書ではなく、独自のカスタム証明書を作成および展開することができます。この項では、カスタム証明書を作成し、実施する方法を説明します。

カスタムセキュリティ証明書の使用

お好きな OpenSSL、Microsoft 認証機関、またはパブリック認証機関 (CA) を使用して証明書を作成することができます。OpenSSL を使用していない場合、Windows Certificate Store 互換形式の証明書の作成に関する手順については、認証機関のマニュアルを参照してください。

この手順は、この項で OpenSSL を使用して、ルート署名証明書がそれらに認識されているときに、ほとんどのセキュリティ スキャナー ツールに対応する証明書を生成します。

注意: 証明書は Windows 証明書ストアに保存されます。

証明書は Windows 証明書ストアに保存されます。ホストに保存されている古い証明書がある場合、競合や混同を避けるため削除する必要があります。

カスタム証明書のガイドライン

自分の証明書の使用を選択する場合、以下の一般的ガイドラインに従ってください。

クライアントへの展開のために、ルート CA 署名証明書を安全な場所に保存します。

プライベートキーとパブリックキーをバックアップし、場所を固定します。

パスワード保護なしにネットワーク ドライブにキーまたは証明書を生成するときに作成されたファイルを保存しないでください。

証明書を Windows 証明書ストアに展開すると、それらのファイルのインストールは不要になり、削除することができます。

自動証明書登録およびグループ ポリシーなどの標準の自動ツールを使用して、自動的に生成された証明書を展開することができます。自動証明書登録およびグループ ポリシーは、両方とも Active Directory を通じて実装されます。詳細については、MSDN Active Directoryのマニュアルを参照してください。

プレセッション暗号化アルゴリズム

接続は、サポート対象の以下の SSID を使用して説明されています。

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_AES_256_GCM_SHA384

注記: 最小 SSL バージョン

これらの最大互換性セキュリティレベルのウェブカムには、TLS 1.2の最小必要な SSL バージョンがあります。

カスタムセキュリティ証明書

CA 署名された証明書を Anyware コンポーネントで読み込み可能にするには、3 つの .www ファイル(pcoip ユーザーが所有)に/etc/pcoip-agent/ssl-certsに保存し、所有しているユーザーのみが読み取り可能にする必要があります。

  • pcoip-key.bmp にロック解除されたKEYが含まれている必要があります。
  • pcoip-certificate.bmp には、pcoip.bmp でキーにサインインする証明書が含まれている必要があります。
  • pcoip-ca certificate.bmp には、pcoip-certificate.bmp 内の証明書を検証する CA 証明書チェーンが含まれている必要があります。

Linux 用グラフィック エージェントがカスタム証明書を使用するように構成する

Linux用グラフィックスエージェントは、証明書をローカルで検索するか、またはpcoip-agent.confpcoip.ssl_cert_type指令を設定することにより独自の生成を行う構成が可能です。

詳細については、「エージェントの構成」 参照してください。

[セキュリティ キーの長さ] を選択する

Linux用グラフィックスエージェントがストレージ内の証明書を探そうとすると、必要なキーの長さは、pcoip-agent.confpcoip.ssl_cert_min_key_length指令経由で設定できます。

指定されたキーの長さのローカル証明書がシステムで見つからない場合、セルフ生成証明書 ( pcoip.ssl_cert_type が 0 の場合)、または接続を拒否します ( pcoip.ssl_cert_type が 1 の場合)。 pcoip.ssl_cert_type が 2 に設定されている場合、この設定は影響しません。

詳細については、「エージェントの構成」 参照してください。

Last updated: Wednesday, November 20, 2024