全て展開
①DMZ上にRemote Control ToolをインストールするためのWindowsサーバーを構築します。
(以下これをRemote Controlサーバーとします)
②構築したWindowsサーバーと各製品間について、以下通信を許可します。
※ TMCM/APex CentralのIIS待ち受けポートを指定します。
(以下これをRemote Controlサーバーとします)
②構築したWindowsサーバーと各製品間について、以下通信を許可します。
| From | To | プロトコル | ポート |
| Apex One as a Service | Remote Control サーバー | TCP | 4433 |
| Remote Control サーバー | TMCM/Apex Central | TCP | 80 443 (※初期設定) |
①Apex One as a Service Remote Connection Tool をダウンロードし、Remote Controlサーバーに展開します。
②TMCM/Apex Centralで使用している認証証明書の種類によって、AかBどちらかを実施してください。
③Apex One as a Service Remote Connection Tool"のインストール
④認証証明書のインストール
⑤Remote Control サーバーで先の手順③の1で作成したSmarRelayフォルダ(デフォルトなら"C:\Program Files (x86)\Trend Micro\Smart Relay")のapricot_config.xmlの以下2か所を編集します。
⑥Remote Control サーバーのコマンドプロンプトより“net start smartrelay”コマンドでSmart Relayを起動してください。
⑦Windowsの管理ツールからサービスを起動し、"SmartRelay" サービスの「スタートアップの種類」を「自動」に変更してください。
②TMCM/Apex Centralで使用している認証証明書の種類によって、AかBどちらかを実施してください。
A.デフォルトの認証証明書を使用する場合は、こちらを実施してください。
- "Apex One as a Service Remote Connection Tool"の"Cert signing script"フォルダ内にある"TMCM_SignCert.bat"を、オンプレミスのTMCM/Apex Centralサーバーの<インストールフォルダ>\certificateフォルダ内にコピーしてください。デフォルトのインストールフォルダは"C:\Program Files (x86)\Trend Micro\Control Manager"です。
- コマンドプロンプトを起動して、以下コマンドを実行してください。
> cd <インストールフォルダ>\certificate
=> certificateフォルダへの移動
> TMCM_SignCert.bat <"Apex One as a Service Remote Connection Tool"で使用する共通名">
⇒Remote ControlサーバーのIPアドレス、ホスト名、FQDNのどれかを指定してください。 - コマンドが完了した後、TMCMの<インストールフォルダ>\certificate\SignedCertフォルダ配下に、ファイル"WebServer_Cert.p12"が生成されたことを確認してください。
もしTMCM_SigneCert.batを再実行したい場合は、ファイル名"<インストールフォルダ>\certificate\CA\index.txt.attr"内の設定を“unique_subject = no” に変更してから実施してください。
B.ユーザーで認証証明書を作成する場合は、こちらを実施してください。
- "Apex One as a Service Remote Connection Tool"の"Certificate signing request script"フォルダ配下に移動し、以下コマンドでCSRを作成します。
> CSRGenerate.bat <"Apex One as a Service Remote Connection Tool"で使用する共通名">
⇒Remote ControlサーバーのIPアドレス、ホスト名、FQDNのどれかを指定してください。 - このコマンドを実行することで、"SignedCert"フォルダ下に2つのファイル"WebServer_Key.pem"と"WebServer_Req.pem"が生成されます。
- 生成した"WebServer_Req.pem"を元に、所定の認証局(CA)に依頼する等の方法で証明書を発行します。以下発行された証明書のファイル名を"WebServer_Cert.pem"とします。発行された"WebServer_Cert.pem"を先の"SignedCert"フォルダ下にコピーして下さい。
- "Apex One as a Service Remote Connection Tool"の"Certificate signing request script"フォルダ配下で以下コマンドを実行し、発行された証明書をPKCS#12形式に変換します。ファイル"WebServer_Cert.p12"が生成されたことを確認してください。
> CertificateConvert.bat SignedCert\WebServer_Key.pem SignedCert\WebServer_Cert.pem
③Apex One as a Service Remote Connection Tool"のインストール
- Remote Control サーバーにツールのインストールフォルダ"C:\Program Files (x86)\Trend Micro\Smart Relay"を作成してください。
- 作成した"Smart Relay"フォルダに"Apex One as a Service Remote Connection Tool"の"RemoteConnectionTool"フォルダ配下のデータを全てコピーします。
- "Smart Relay"フォルダに移動し、"install.bat"を実行します。コマンドプロンプトに表示された指示に従ってキーを押してください。
- インストールが完了すると、Windowsの管理ツールからサービスを起動し、"SmartRelay"が追加されたことを確認してください。
この時点ではSmartRelayサービスを起動しないでください。
④認証証明書のインストール
- ②で作成したTMCM/ApexCentralの<インストールフォルダ>\certificate\SignedCertフォルダ配下にある"WebServer_Cert.p12"をRemote Control サーバーの任意のフォルダにコピーして下さい。
- MMC(Microsoft 管理コンソール)を起動し、[ファイル(F)] >[スナップインの追加と削除]を選択します。
- 利用できるスナップインから"証明書"を選択し、追加します。この時”このスナップインで管理する証明書”には"コンピュータアカウント"を選択し、"このスナップインで管理するコンピューター"には"ローカルコンピューター"を選択してください。選択されたスナップインに"証明書(ローカルコンピューター)"が追加されたことを確認して、”OK"を選択します。
- 追加されたスナップイン"証明書"から[個人] > [証明書]を開いて右クリックし、[すべてのタスク] > [インポート]を選択します。
- 任意のフォルダにある"WebServer_Cert.p12"を選択し、インポートします。途中パスワードを聞かれますが、設定していない場合は空で進めてください。
- スナップインの一覧にインポートした証明書が追加されたことを確認します。
⑤Remote Control サーバーで先の手順③の1で作成したSmarRelayフォルダ(デフォルトなら"C:\Program Files (x86)\Trend Micro\Smart Relay")のapricot_config.xmlの以下2か所を編集します。
| <cert_cn>Common_Name_of_Host</cert_cn>
⇒②で証明書を作成するときに指定した共通名を入れてください。
<uplink_server>https://Control Manager or Apex Central_address</uplink_server>
⇒TMCM/Apex CentralのIPまたはFQDNを入れてください。
|
⑥Remote Control サーバーのコマンドプロンプトより“net start smartrelay”コマンドでSmart Relayを起動してください。
| > net start smartrelay SmartRelay サービスを開始します. SmartRelay サービスは正常に開始されました。 |
⑦Windowsの管理ツールからサービスを起動し、"SmartRelay" サービスの「スタートアップの種類」を「自動」に変更してください。
TMCM/Apex Centralサーバーのインストールフォルダ直下にあるSystemConfiguration.xmlを以下のValueに値を追加します。設定編集後サービス"Trend Micro Control Manager"または"Trend Micro Apex Central" service"を再起動します。
| <m_SaaSReverseProxyAddress> => Remote Control サーバーのIPアドレス/FQDNを追加 <m_SaaSReverseProxyPort> => Remote Control サーバーとの接続ポートを追加(デフォルトは4433) |
もし使用しているTMCM/Apex Centralが最初からインターネットから接続できる環境であれば、"Apex One as a Service Remote Connection Tool"はインストールする必要がありません。ただし、ここでIPアドレスとポートの情報を必ず記載して下さい。
①Apex Once SaaSの管理画面から、[管理] > [設定] > [Apex Central]を選択。
②[別のApex Centralサーバーに登録する]を選択する。
③ポップアップ画面にRemote Control サーバーの情報を入力してから、[接続]を選択します。
②[別のApex Centralサーバーに登録する]を選択する。
③ポップアップ画面にRemote Control サーバーの情報を入力してから、[接続]を選択します。
- サーバFQDN/IPアドレス: Step 3で指定した情報を入力
- ポート (HTTPS): Step 3で指定した情報を入力
- Apex Central証明書:Step 2にてオンプレミスのTMCM/Apex Centralで作成した以下証明書をアップロードします。デフォルト以外の証明書を使用している場合は作成したものをアップロードしてください。
| <インストールフォルダ>\Certificate\CA\TMCM_CA_Cert.pem |
- IIS Webサーバ認証: この情報はIISサーバが認証に使用します。TMCM/Apex Centralでは使用されません。
- エンティティ表示名: 製品を示すエンティティ名がTMCM/Apex Centralの製品ツリーに表示されます。
①Apex Central SaaSのコンソールから[運用管理] > [管理下のサーバ] > [サーバの登録]を選択します。
②リストに出てきた"Apex One (Mac) as a Service"の表右側[処理]にあるごみ箱を選択し、Apex Central SaaSから登録中のエンティティを削除します。ここで表示されているサーバのURLを必ず記録しておいてください。
③Apex One SaaSにログインし、[管理] > [アカウント管理] > [ユーザアカウント]を選択します。
④Apex One SaaSに管理者権限を持つユーザーを作成します。
⑤オンプレミスのTMCM/Apex Centralにログインし、[運用管理] > [管理下のサーバ] > [サーバの登録]を選択します。
⑥サーバの種類で[Apex One (Mac)]を選択し、[追加]を実行します。
⑦先の②で記録したURLと、④で作成したユーザーとパスワード情報を元に、Apex One (Mac)を登録します。
②リストに出てきた"Apex One (Mac) as a Service"の表右側[処理]にあるごみ箱を選択し、Apex Central SaaSから登録中のエンティティを削除します。ここで表示されているサーバのURLを必ず記録しておいてください。
③Apex One SaaSにログインし、[管理] > [アカウント管理] > [ユーザアカウント]を選択します。
④Apex One SaaSに管理者権限を持つユーザーを作成します。
⑤オンプレミスのTMCM/Apex Centralにログインし、[運用管理] > [管理下のサーバ] > [サーバの登録]を選択します。
⑥サーバの種類で[Apex One (Mac)]を選択し、[追加]を実行します。
⑦先の②で記録したURLと、④で作成したユーザーとパスワード情報を元に、Apex One (Mac)を登録します。
Apex One SaaS とオンプレミスの Apex Central サーバとのハイブリッド構成環境において、2023年5月の Apex One SaaS 定期メンテナンス後、Apex One SaaS でスマート スキャン エージェント パターンが更新されないという問題を確認しております。詳しくはこちらの製品 Q&Aをご確認ください。