Standard Agent for Windows Administrators' Guide

Anyware Agents のセキュリティ証明書

PCoIP ではセッションを確立する証明書が必要です。デフォルトでは、Anyware Agents は PCoIP セッションを保護する自己署名証明書を生成します。PCoIP システムの各コンポーネントは、これらの自己署名証明書を生成でき、それらは何の構成も必要とせずに自動的に連携します。

必要ならば、HPの自己署名証明書ではなく、独自のカスタム証明書を作成および展開することができます。この項では、カスタム証明書を作成し、実施する方法を説明します。

カスタムセキュリティ証明書の使用

お好きな OpenSSL、Microsoft 認証機関、またはパブリック認証機関 (CA) を使用して証明書を作成することができます。OpenSSL を使用していない場合、Windows Certificate Store 互換形式の証明書の作成に関する手順については、認証機関のマニュアルを参照してください。

この手順は、この項で OpenSSL を使用して、ルート署名証明書がそれらに認識されているときに、ほとんどのセキュリティ スキャナー ツールに対応する証明書を生成します。

注意: 証明書は Windows 証明書ストアに保存されます。

証明書は Windows 証明書ストアに保存されます。ホストに保存されている古い証明書がある場合、競合や混同を避けるため削除する必要があります。

カスタム証明書のガイドライン

自分の証明書の使用を選択する場合、以下の一般的ガイドラインに従ってください。

クライアントへの展開のために、ルート CA 署名証明書を安全な場所に保存します。

プライベートキーとパブリックキーをバックアップし、場所を固定します。

パスワード保護なしにネットワーク ドライブにキーまたは証明書を生成するときに作成されたファイルを保存しないでください。

証明書を Windows 証明書ストアに展開すると、それらのファイルのインストールは不要になり、削除することができます。

自動証明書登録およびグループ ポリシーなどの標準の自動ツールを使用して、自動的に生成された証明書を展開することができます。自動証明書登録およびグループ ポリシーは、両方とも Active Directory を通じて実装されます。詳細については、MSDN Active Directoryのマニュアルを参照してください。

プレセッション暗号化アルゴリズム

接続は、サポート対象の以下の SSID を使用して説明されています。

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_AES_256_GCM_SHA384

注記: 最小 SSL バージョン

これらの最大互換性セキュリティレベルのウェブカムには、TLS 1.2の最小必要な SSL バージョンがあります。

セッション中の暗号化アルゴリズム

PCoIP セッションを開始し、接続を確立すると、すべての PCoIP 通信は AES-256-GCM セッション暗号化アルゴリズムでセキュアになります。これらの設定は エージェントに対して構成できます。


Last updated: Saturday, November 9, 2024