ビュー:

本コンテンツは英語版の製品Q&A"Deep Security Agent (DSA) offline when OpenSSL 3 rejects certificate with SHA-1 algorithmをもとに一部加筆したものです。最新の情報は英語版の製品Q&Aをご確認ください。

 

本ページで使用する略称について


Deep Security Manager を「DSM」、Deep Security Agent を「DSA」と表記しています。
 

事象


DSA を 20.0.0.6313 以降のビルドにアップグレードすると、一部のDSA のステータスが「オフライン」になる。
 

原因


DSM - DSA 間の通信で使用される暗号化アルゴリズムが古いことに起因して発生いたします。
DSA 20.0.0.6313 以降のビルドでは、特定のDSA内部ソフトウェアがアップグレードされており、既存の暗号化アルゴリズムが古い場合は拒否いたします。
 

事象発生シナリオ


現時点において、下記をすべて満たす場合に事象が発生する想定となります。

 

  • ・DSM 9.6 SP1 以前 からアップグレードを継続して利用している状況で、管理下のDSAを20.0.0.6313 以降のビルドにアップグレードした
  • ・DSM 20.0.737 未満のバージョンを使用している
  • ・下記の手順により暗号化アルゴリズムのアップグレードを実施していない
   
 

事象が発生した場合の対処


 1.上記手順によりDSM側で暗号化アルゴリズムのアップグレード を実施します。

 2.DSA側で下記ファイルを手動削除します。

 ●Linux、Unix の場合: 
  /var/opt/ds_agent/dsa_core/ds_agent_dsm.crt
  /var/opt/ds_agent/dsa_core/ds_agent_dsm_ca.crt
  /var/opt/ds_agent/dsa_core/ds_agent.crt
  /var/opt/ds_agent/dsa_core/ds_agent.config

 ●Windows の場合: 
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent_dsm.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent_dsm_ca.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.config

 3.DSAからのハートビートを待ちます。
  ※システムイベント「702 資格情報の生成」が出力されます。
 4.DSM管理画面でDSAに対して[警告/エラーのクリア]を行います。

 

上記ファイルの削除とハートビートでは解決しない場合、DSAサービスを再起動してください。

 

マルチテナント環境の場合

マルチテナント環境の場合は下記手順を実施します。
 
 1.子テナントのDSM管理画面にて対象のDSAを無効化します。
  ※DSAの通信方向を[Agent/Applianceから開始]にしている場合、実施後に「保留中」のイベントが出力され、その後DSA無効化は「失敗」となりますが、DSM側での処理は行われるため、必ず実施してください。
 2.対象のDSAサービスを停止します。
 3.対象のDSAコンピュータにおいて下記ファイルが存在する場合は全て削除します。

  ●Linux、Unix 場合
  /var/opt/ds_agent/dsa_core/ds_agent_dsm.crt
  /var/opt/ds_agent/dsa_core/ds_agent_dsm_ca.crt
  /var/opt/ds_agent/dsa_core/ds_agent.crt
  /var/opt/ds_agent/dsa_core/ds_agent.config

  ●Windows の場合
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent_dsm.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent_dsm_ca.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt
  C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.config
 
 4.子テナントを指定してDSM側で暗号化アルゴリズムのアップグレード を実施します。
  ※「マルチテナント環境でアルゴリズムをアップグレードする」を参照ください。

 5.対象のDSAサービスを起動します。
 6.子テナントのDSM管理画面にて対象のDSAを有効化します。
  もしくはDSAから子テナントを指定して有効化(dsa_control -a )を実行します。
  ※インストールスクリプト内の
   dsa_control -a dsm//【DSMのURL:port】/ tenantID:【ID】 token:【token】
  を活用ください。

 

事象発生を事前に回避する方法

以下のいずれかの対応を実施します。

A) DSA 20.0.0.6313 以降のビルドへのアップグレードを行う前に、DSM 20.0.737 またはそれ以上のバージョンにアップデートします。

B)DSA 20.0.0.6313 以降のビルドへのアップグレードを行う前に、以下の手順を実施します。

 1.DSM側で暗号化アルゴリズムのアップグレード を実施します。
 
 2.DSAからのハートビートを待ちます。
  もしくは、DSAを無効化し、有効化します。