Anyware Agentのセキュリティ証明書
PCoIPでは、セッションを確立するために証明書が必要です。初期設定では、Anyware Agentは自己署名証明書を生成してPCoIPセッションを保護します。PCoIPシステムの各コンポーネントが自己署名証明書を生成でき、それらは構成不要で自動的に連携して動作します。
必要な場合、HPの自己署名証明書の代わりに、独自のカスタム証明書を作成して展開することもできます。このセクションでは、カスタム証明書を作成して実装する方法を説明します。
カスタムセキュリティ証明書を使用する
証明書の作成には、OpenSSL、Microsoft Certification Authority、または任意のパブリック認証局(CA)が使用できます。OpenSSLを使用しない場合、使用する認証局のドキュメントで、Windows認証ストア互換形式の証明書を作成する手順を参照してください。
このセクションの手順では、OpenSSLを使用して証明書を生成します。これらの証明書は、ルート署名証明書が知られていれば、ほとんどのセキュリティ スキャナー ツールで認識されます。
注意:証明書はWindows証明書ストアに保存されます
証明書はWindows証明書ストアに保存されます。ホストに古い証明書が保存されている場合、競合や混乱を避けるため削除する必要があります。
カスタム証明書のガイドライン
独自の証明書を使用する場合、以下の一般的なガイドラインを使用してください。
ルートCA署名証明書は安全な場所に保存し、クライアントに展開します。
秘密キーおよび公開キーは安全な場所にバックアップします。
キーまたは証明書を生成する際に作成されたファイルを、パスワードで保護されていないネットワーク ドライブに保存することは避けます。
証明書がWindows証明書ストアに展開されたら、作成に使用したファイルは不要なので削除してかまいません。
自動生成された証明書の展開には、証明書の自動登録やグループ ポリシーなどの標準の自動ツールが使用できます。証明書の自動登録もグループ ポリシーも、Active Directoryを使用して実装されています。詳しくは、MSDN Active Directoryのドキュメントを参照してください。
セッション前暗号化アルゴリズム
接続のネゴシエーションには、次のサポートされるRSA暗号スイートが使用されます。
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_AES_256_GCM_SHA384
注:SSLの最小バージョン
これらの最大互換性セキュリティ レベル暗号スイートに必要なSSLバージョンは、TLS 1.2以降です。
セッション内暗号化アルゴリズム
PCoIPセッションがネゴシエートされ、接続が確立されると、すべてのPCoIP通信は、AES-256-GCMセッション暗号化アルゴリズムによって保護されます。これらはエージェントで構成できます。