自己署名証明書のアルゴリズムの変更

  • SafeGuard Enterprise のすべてのコンポーネントがバージョン 6.1 以降である必要があります。

企業証明書、マシン証明書、セキュリティ担当者証明書、ユーザー証明書など、SafeGuard Enterprise によって生成される証明書は、セキュリティを強化するため、デフォルトで、初回のインストール時に「SHA-256」ハッシュ アルゴリズムで署名されます。

SafeGuard Enterprise 6 以前からアップグレードする場合、デフォルトで、「SHA-1」ハッシュ アルゴリズムが自己署名証明書に使用されます。アップグレード完了後、セキュリティを強化するため、手動で「SHA-256」に変更可能です。

SafeGuard Enterprise のコンポーネントすべてとエンドポイントが、最新バージョンにアップグレード済みの場合のみ、アルゴリズムを「SHA-256」に変更するようにしてください。「SHA-256」は、SafeGuard Enterprise 6 エンドポイントが SafeGuard Management Center 7 によって管理されているなど、バージョンが混在した環境には対応していません。バージョンが混在した環境では、ここで説明するタスクを実行して、アルゴリズムを「SHA-256」に変更しないようにしてください。

自己署名証明書のアルゴリズムを変更する手順は次のとおりです。

  • ハッシュ アルゴリズムを変更する。
  • Certificate Change Order (CCO) を作成する。
  • CCO を含む構成パッケージを作成する。
  • SafeGuard Enterprise (データベース) サーバーを再起動する。
  • エンドポイントに構成パッケージを配布し、展開する。

自己署名証明書のアルゴリズムを変更する方法は次のとおりです。

  1. SafeGuard Management Center で、「ツール > オプション」を選択します。
  2. 全般」タブの「証明書」で、必要なアルゴリズムを「証明書生成用ハッシュアルゴリズム」で選択して、「OK」をクリックします。
  3. 証明書」タブの「要求」で、「更新」をクリックします。「企業証明書の更新」で、CCO の名前を入力し、バックアップのパスも指定します。P12 ファイル用のパスワードを入力して、確認入力します。コメントを入力した後 (任意)、「作成」をクリックします。
  4. いったんこの変更を行うと元に戻すことができず、また、この企業証明書の更新後に作成する構成パッケージを、すでにインストール済みのエンドポイントで使用するには、この CCO を含める必要がある、という内容のダイアログが表示されたら確定します。
  5. 更新に成功し、すべての構成パッケージに含める必要のある CCO が作成された、という内容のダイアログが表示されたら確定します。「OK」をクリックします。
  6. ツール」メニューの「構成パッケージ ツール」をクリックします。
  7. 必要な種類のエンドポイント構成パッケージを次から選択します。「管理型クライアント用パッケージ」、「スタンドアロン クライアント用パッケージ」。
  8. 構成パッケージの追加」をクリックし、任意の構成パッケージ名を入力します。
  9. 先ほど作成した「CCO」を選択します。
  10. 必要に応じてさらに設定を行います。
  11. 構成パッケージ (MSI) の出力パスを指定します。
  12. 構成パッケージの作成」をクリックします。
    これで、指定したディレクトリに構成パッケージ (MSI) が作成されました。
  13. すべての SafeGuard Enterprise (データベース) サーバーを再起動します。
  14. このパッケージを SafeGuard Enterprise の管理対象エンドポイントに配布して、展開します。

SafeGuard Enterprise によって生成される証明書は、変更後のアルゴリズムで署名されるようになります。詳細は、ソフォスのサポートデータベースの文章 116791 を参照してください。