ビュー:
以下の手順にて、サーバ - エージェント間の通信に問題がないことを確認してください。

Trend Micro Apex One では、サーバ、エージェント間通信にTLS が必要になります。

TLS は、サーバおよぼエージェント双方で有効化されている必要があり、サーバおよびエージェント双方で
有効になっている TLS のバージョンのうち、最新のバージョンから通信が試みられます。
こちらは、Windows 側の仕様の動作となります。

  • - サーバおよびエージェント双方で、TLS1.2 が有効の場合、TLS1.2 が使用される。
  • - サーバで TLS 1.1 および 1.2 が有効、エージェントで TLS 1.0 および 1.1 が有効である場合、TLS1.1 が使用される。
  • - サーバで TLS 1.2 が有効、エージェントでは TLS 1.0 が有効である場合、通信が確立できない。
 

※セキュリティの観点から、TLS は最新のバージョンを使用する事をご検討ください。
※TLS の詳細および有効化の手順について詳細は、マイクロソフト社側にご確認ください。

 

サーバからエージェントへの疎通確認

1.Apex One サーバ上のブラウザに以下を入力し、アクセスします。
※ブラウザに自動構成スクリプトやプロキシを設定されている場合、一時的に無効化し、ご確認ください。

https://エージェントのIPアドレス:ポート番号/?CAVIT
※ポート番号は Apex One サーバ管理コンソールの [エージェント] > [エージェント管理] 画面にて、
 該当エージェントの [待機ポート] に表示される値です。

2.ブラウザに表示される内容を確認します。
 正常にアクセスできる場合、ブラウザに「!CRYPT!」で始まる文字列が表示されます。
 アクセスできない場合、ファイアウォールやルータの設定をご確認ください。
 

エージェントからサーバへの疎通確認

1.Apex One エージェント上のブラウザに以下を入力し、アクセスします。
※ブラウザに自動構成スクリプトやプロキシを設定されている場合、一時的に無効化し、ご確認ください。

https://サーバのコンピュータ名:ポート番号/officescan/hotfix_pccnt/Common/OfcNTCer.dat
https://サーバのIPアドレス:ポート番号/officescan/hotfix_pccnt/Common/OfcNTCer.dat

※ポート番号は Apex One サーバ管理コンソールの [管理] > [設定] > [エージェント接続] >
 「エージェント接続設定」画面の「HTTPSポート番号」に表示される値です。

2. 結果を確認します。
 正常に疎通可能な場合、OfcNTCer.dat ファイルがダウンロードされます。
 ダウンロードされない場合、ファイアウォールやルータの設定をご確認ください。

「サーバのIPアドレス」にて試行した際は正常で、「サーバのコンピュータ名」にて
試行した際は正常でない場合、名前解決に問題があると考えられます。

hosts や DNS 等にて名前解決が正しく実施されるよう設定してください。

 

サーバからエージェントへの TLS 通信の確認

1.コマンドプロンプトを起動し、cd コマンドで下記フォルダへ移動します。

C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Private\certificate

2.以下のコマンドを実行します。

openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1
openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1_1
openssl.exe s_client -connect エージェントの IP アドレス:ポート番号 -tls1_2

3.それぞれのコマンドでそのレスポンスを確認します。
 ”Secure Renegotiation IS Supported”となっている場合、そのプロトコルをサポートしています。
 一方、”Secure Renegotiation IS Not Supported"となっている場合、そのプロトコルをサポートしていません。
 サーバおよびエージェント双方で有効化されている TLS のバージョンがあるかご確認ください。
 

エージェントからサーバへの TLS 通信の確認

1.サーバの以下フォルダから以下のファイルをコピーします。

フォルダ:
C:\Program Files (x86)\Trend Micro\Apex One\PCCSRV\Private\certificate

ファイル:
・libcrypto-3.dll
・libssl-3.dll
・openssl.exe

(ビルド 12380 未満の場合)ファイル:
・libeay32.dll
・openssl.exe
・ssleay32.dll

2.上記1 でコピーしたファイルを一つのフォルダに保存しておきます。

3.上記2 で作成したフォルダをコピーし、エージェントの任意の場所に保存します。

4.コマンドプロンプトを起動し、cd コマンドで上記3 にて保存したフォルダへ移動します。

5.以下のコマンドを実行します。

openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1
openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1_1
openssl.exe s_client -connect サーバの IP アドレス:ポート番号 -tls1_2

6.それぞれのコマンドでそのレスポンスを確認します。
 ”Secure Renegotiation IS Supported”となっている場合、そのプロトコルをサポートしています。
 一方、”Secure Renegotiation IS Not Supported"となっている場合、そのプロトコルをサポートしていません。
 サーバおよびエージェント双方で有効化されている TLS のバージョンがあるかご確認ください。
コメント (0)