Trend Micro Apex One では、サーバ、エージェント間通信にTLS が必要になります。
TLS は、サーバおよぼエージェント双方で有効化されている必要があり、サーバおよびエージェント双方で
有効になっている TLS のバージョンのうち、最新のバージョンから通信が試みられます。
こちらは、Windows 側の仕様の動作となります。
- - サーバおよびエージェント双方で、TLS1.2 が有効の場合、TLS1.2 が使用される。
- - サーバで TLS 1.1 および 1.2 が有効、エージェントで TLS 1.0 および 1.1 が有効である場合、TLS1.1 が使用される。
- - サーバで TLS 1.2 が有効、エージェントでは TLS 1.0 が有効である場合、通信が確立できない。
※セキュリティの観点から、TLS は最新のバージョンを使用する事をご検討ください。
※TLS の詳細および有効化の手順について詳細は、マイクロソフト社側にご確認ください。
サーバからエージェントへの疎通確認
1.Apex One サーバ上のブラウザに以下を入力し、アクセスします。※ブラウザに自動構成スクリプトやプロキシを設定されている場合、一時的に無効化し、ご確認ください。
https://エージェントのIPアドレス:ポート番号/?CAVIT
※ポート番号は Apex One サーバ管理コンソールの [エージェント] > [エージェント管理] 画面にて、
該当エージェントの [待機ポート] に表示される値です。
2.ブラウザに表示される内容を確認します。
正常にアクセスできる場合、ブラウザに「!CRYPT!」で始まる文字列が表示されます。
アクセスできない場合、ファイアウォールやルータの設定をご確認ください。
エージェントからサーバへの疎通確認
1.Apex One エージェント上のブラウザに以下を入力し、アクセスします。※ブラウザに自動構成スクリプトやプロキシを設定されている場合、一時的に無効化し、ご確認ください。
https://サーバのコンピュータ名:ポート番号/officescan/hotfix_pccnt/Common/OfcNTCer.dat
https://サーバのIPアドレス:ポート番号/officescan/hotfix_pccnt/Common/OfcNTCer.dat
※ポート番号は Apex One サーバ管理コンソールの [管理] > [設定] > [エージェント接続] >
「エージェント接続設定」画面の「HTTPSポート番号」に表示される値です。
2. 結果を確認します。
正常に疎通可能な場合、OfcNTCer.dat ファイルがダウンロードされます。
ダウンロードされない場合、ファイアウォールやルータの設定をご確認ください。
「サーバのIPアドレス」にて試行した際は正常で、「サーバのコンピュータ名」にて
試行した際は正常でない場合、名前解決に問題があると考えられます。
hosts や DNS 等にて名前解決が正しく実施されるよう設定してください。
サーバからエージェントへの TLS 通信の確認
1.コマンドプロンプトを起動し、cd コマンドで下記フォルダへ移動します。C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Private\certificate
2.以下のコマンドを実行します。
openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1
openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1_1
openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1_2
3.それぞれのコマンドでそのレスポンスを確認します。
”Secure Renegotiation IS Supported”となっている場合、そのプロトコルをサポートしています。
一方、”Secure Renegotiation IS Not Supported"となっている場合、そのプロトコルをサポートしていません。
サーバおよびエージェント双方で有効化されている TLS のバージョンがあるかご確認ください。
エージェントからサーバへの TLS 通信の確認
1.サーバの以下フォルダから以下のファイルをコピーします。フォルダ:
C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Private\certificate
ファイル:
・libcrypto-3.dll
・libssl-3.dll
・openssl.exe
(ビルド 12380 未満の場合)ファイル:
・libeay32.dll
・openssl.exe
・ssleay32.dll
2.上記1 でコピーしたファイルを一つのフォルダに保存しておきます。
3.上記2 で作成したフォルダをコピーし、エージェントの任意の場所に保存します。
4.コマンドプロンプトを起動し、cd コマンドで上記3 にて保存したフォルダへ移動します。
5.以下のコマンドを実行します。
openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1
openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1_1
openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1_2
6.それぞれのコマンドでそのレスポンスを確認します。
”Secure Renegotiation IS Supported”となっている場合、そのプロトコルをサポートしています。
一方、”Secure Renegotiation IS Not Supported"となっている場合、そのプロトコルをサポートしていません。
サーバおよびエージェント双方で有効化されている TLS のバージョンがあるかご確認ください。