Anyware Agentのセキュリティ証明書

PCoIPでは、セッションを確立するために証明書が必要です。初期設定では、Anyware Agentは自己署名証明書を生成してPCoIPセッションを保護します。PCoIPシステムの各コンポーネントが自己署名証明書を生成でき、それらは構成不要で自動的に連携して動作します。

必要な場合、HPの自己署名証明書の代わりに、独自のカスタム証明書を作成して展開することもできます。このセクションでは、カスタム証明書を作成して実装する方法を説明します。

カスタムセキュリティ証明書を使用する

証明書の作成には、OpenSSL、Microsoft Certification Authority、または任意のパブリック認証局（CA）が使用できます。OpenSSLを使用しない場合、使用する認証局のドキュメントで、Windows認証ストア互換形式の証明書を作成する手順を参照してください。

このセクションの手順では、OpenSSLを使用して証明書を生成します。これらの証明書は、ルート署名証明書が知られていれば、ほとんどのセキュリティ スキャナー ツールで認識されます。

カスタム証明書のガイドライン

独自の証明書を使用する場合、以下の一般的なガイドラインを使用してください。

ルートCA署名証明書は安全な場所に保存し、クライアントに展開します。

秘密キーおよび公開キーは安全な場所にバックアップします。

キーまたは証明書を生成する際に作成されたファイルを、パスワードで保護されていないネットワーク ドライブに保存することは避けます。

証明書がWindows証明書ストアに展開されたら、作成に使用したファイルは不要なので削除してかまいません。

自動生成された証明書の展開には、証明書の自動登録やグループ ポリシーなどの標準の自動ツールが使用できます。証明書の自動登録もグループ ポリシーも、Active Directoryを使用して実装されています。詳しくは、MSDN Active Directoryのドキュメントを参照してください。

セッション前暗号化アルゴリズム

接続のネゴシエーションには、次のサポートされるRSA暗号スイートが使用されます。

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_AES_256_GCM_SHA384

カスタム セキュリティ証明書

CAの署名付き証明書がAnywareコンポーネントから読み込み可能であるためには、証明書が /etc/pcoip-agent/ssl-certs にある3つの.pemファイルに保存されており、ファイルの所有者がpcoipユーザーで、ファイルの読み取りが所有者ユーザーだけに許可されている必要があります。

• pcoip-key.pemには、ロックされていないRSAキーが含まれる必要があります
• pcoip-cert.pemには、pcoip.pem内のキーに署名する証明書が含まれる必要があります
• pcoip-cacert.pemには、pcoip-cert.pem内の証明書を検証するCA証明書チェーンが含まれる必要があります

カスタム証明書を使用するようにStandard Agent for Linuxを構成する

pcoip-agent.conf 内の pcoip.ssl_cert_type ディレクティブを設定することにより、Standard Agent for Linuxが証明書をローカルに探すか、または自分で生成するように構成できます。

詳しくは、「Agentを構成する」を参照してください。

セキュリティ キーの長さを選択する

Standard Agent for Linuxがストレージ内の証明書を探す場合、必要なキーの長さを、pcoip-agent.conf 内の pcoip.ssl_cert_min_key_length ディレクティブで設定できます。

指定したキーの長さのローカル証明書が見つからない場合、証明書が自己生成されるか（pcoip.ssl_cert_type が0の場合）、または接続が拒否されます（pcoip.ssl_cert_type が1の場合）。pcoip.ssl_cert_type が2に設定されている場合、この設定は無意味です。

詳しくは、「Agentを構成する」を参照してください。