Company Certificate Change Order (CCO) は、次の操作を行うために使用します。
■ 企業証明書を更新する:間もなく期限切れになる場合。
管理対象および管理対象外のエンドポイントの両方に対して企業証明書を更新で きますが、操作は管理コンソールのみで実行できます。
■ 管理対象外のエンドポイントを別の環境に移動する:異なる環境にある 2つの Sophos SafeGuard を 1つの Sophos SafeGuard 環境に結合する場合などです。いず れか 1つの環境を移動先の環境に指定します。
これを行うには、1つの環境の企業証明書を、移動先の環境の企業証明書と交換 します。
注: マスター セキュリティ担当者のみが、CCO を作成できます。他のセキュリ ティ担当者に CCO の作成権限を与えるには、マスター セキュリティ担当者は、
カスタムロールを作成して、それに「CCO を管理する」権限を割り当てる必要 があります。
10.1 企業証明書を更新する
間もなく期限切れになる企業証明書は、SafeGuard Management Center で更新するこ とができます。企業証明書の有効期限が切れる 6ヵ月前から、ログオン時に SafeGuard
Management Center で警告が表示されます。有効な企業証明書がないと、エンドポ
イントはサーバーに接続することができません。企業証明書の更新には、次の 3つ のステップがあります。
■ Certificate Change Order (CCO) を作成する。
■ CCO を含む構成パッケージを作成する。
■ サーバーを再起動し、エンドポイントに構成パッケージを配布、展開する 企業証明書を更新する方法は次のとおりです。
1. SafeGuard Management Center で、「ツール
>オプション」を選択します。
2. 「証明書」タブを選択し、「要求」セクションの「更新」をクリックしま す。
3. 「企業証明書の更新」ダイアログで、 CCO の名前を入力し、バックアッ
プのパスも指定します。 P12 ファイル用のパスワードを入力して、確認入
力します。コメントを入力した後 (任意)、「作成」をクリックします。
4. いったんこの変更を行うと元に戻すことができず、また、この企業証明書 の更新後に作成する構成パッケージを、すでにインストール済みのエンド ポイントで使用するには、この CCO を含める必要がある、という内容の ダイアログが表示されたら確定します。
5. 更新に成功し、すべての構成パッケージに含める必要のある CCO が作成 された、という内容のダイアログが表示されたら確定します。「
OK」を クリックします。
6. 「ツール」メニューの「構成パッケージ ツール」をクリックします。
7. 「管理型クライアント用パッケージ」を選択します。
8. 「構成パッケージの追加」をクリックし、任意の構成パッケージ名を入力 します。
9. 「プライマリサーバー」を割り当てます (「セカンダリサーバー」は任意 です)。
10. 企業証明書を更新するために作成した「CCO」を選択します。
11. 「転送データの暗号化」モードを選択して、 SafeGuard Enterprise Client と
SafeGuard Enterprise Server との間の接続を暗号化する方法を定義します。
ソフォスの暗号化機能によるものと SSL 暗号化の 2種類から選択できま す。
SSL の利点は、標準プロトコルであること、および SafeGuard 転送暗号化 機能を使用する場合と同様に接続を高速化できることです。 SSL 暗号化 は、デフォルトで選択されています。 SSL を使用して転送の接続を保護す る方法の詳細は、「
SafeGuard Enterpriseインストールガイド」を参照し てください。
12. 構成パッケージ (MSI) の出力パスを指定します。
13. 「構成パッケージの作成」をクリックします。
「転送データの暗号化」モードとして SSL 暗号化を選択した場合は、サー バー接続が検証されます。接続に失敗すると、警告メッセージが表示され ます。
これで、指定したディレクトリに構成パッケージ (MSI) が作成されました。すべて
の SGN サーバーを必ず再起動してください。このパッケージを SafeGuard Enterprise
の管理対象エンドポイントに配布して、展開する必要があります。
10.2 企業証明書を置き換える
エンドポイントを 1つのスタンドアロン環境からもう 1つのスタンドアロン環境に 移動する場合、企業証明書を置き換える必要があります。移動するエンドポイント には、移動先の環境の企業証明書が必要です。そうでない場合、このエンドポイン
トに、新しい環境のポリシーを適用することができません。企業証明書を置き換え るために必要な操作は、SafeGuard Management Center と Policy Editor のどちらにお いても実行できます。以下の説明で、「管理ツール」は SafeGuard Management Center と SafeGuard Policy Editor の両方を指します。企業証明書を置き換える手順は、両 ツールでまったく同じです。
次の前提条件を満たす必要があります。
どちらの Management Center/Policy Editor 環境をもとに操作を行うか (つまり置き換 え元と置き換え先) を決定してください。移動するエンドポイントの構成パッケー ジを作成したときに使用した Management Center/Policy Editor は置き換え元になりま す。エンドポイントの移動先にある Management Center/Policy Editor は置き換え先に なります。
企業証明書を置き換える方法は次のとおりです。
1. 置き換え先の管理ツールで、企業証明書をエクスポートします。「ツー ル」メニューで、「オプション」をクリックします。「証明書」タブを選 択し、「企業証明書」の「エクスポート」ボタンをクリックします。証明 書のバックアップ用パスワードを入力・確認入力して、出力先ディレクト リとファイル名を選択します。企業証明書が出力されます (.cer ファイル ) 。 2. 置き換え元の管理ツールの「ツール」メニューで、「オプション」をク
リックします。そして、「証明書」タブを選択し、「要求」セクションの
「作成
...」をクリックします。「CCOの作成」ダイアログで、置き換え先
の管理ツールで出力した企業証明書 ( ステップ 1) を参照します。正しい証 明書が選択されていることを確認します。「作成」をクリックして .cco ファイルの出力先ディレクトリとファイル名を選択します。Company
Certificate Change Order (CCO)を作成することを確認します。 CCO は、特 定のエンドポイントに関連付けされていません。 CCO を使用すれば、置 き換え元の環境にある任意のエンドポインを移動できます。
3. 置き換え先の管理ツールで、置き換え元の管理ツールで作成した CCO を インポートする必要があります。「ツール」メニューで、「構成パッケー ジ ツール」をクリックし、「CCOs」タブを選択します。「インポート」
をクリックします。
4. 「
CCOのインポート」ダイアログで、置き換え元の管理ツールで作成し
た CCO を選択し、 CCO 名と説明 ( 任意 ) を入力します。「
OK」をクリッ
クします。
5. 置き換え先の管理ツールで、構成パッケージを作成します。「ツール」メ ニューの「構成パッケージ ツール > スタンドアロン クライアント用パッ ケージ」をクリックして、新しい構成パッケージを追加します。「
CCO」 カラムのドロップダウン メニューで、インポートした CCO を選択しま す。「構成パッケージの出力パス」で、パスを指定します。「構成パッ ケージの作成」をクリックします。指定した場所に構成パッケージが作成 されます。
6. この構成パッケージを、移行するすべてのエンドポイントにインストール します。
10.3 Company Certificate Change Order (CCO) を管理する
SafeGuard Management Center の「ツール」メニューで、「構成パッケージ ツール」
をクリックします。作成された CCO すべてが、「CCOs」タブに表示されます。
選択した CCO の詳細情報は、ダイアログの下部に表示されます。
企業証明書を更新するために CCO が作成された場合、更新する証明書は「元の企 業証明書」です。エンドポイントを移動するために CCO が作成された場合、更新 する証明書は、移動先の環境の企業証明書です。
「企業証明書の出力先」は、企業証明書を更新するため、またはエンドポイントの 移動先の環境の企業証明書を更新するために CCO が作成された場合の新しい企業 証明書です。
証明書の詳細の下には、選択した CCO の対象タスクが表示されます。
注: CCO を管理するには、「CCO を管理する」権限が必要です。
10.3.1 インポート
企業証明書を変更するために別の管理ツールを使用して作成した CCO を、構成パッ ケージの作成時に指定するには、まず、その CCO をインポートする必要がありま す。
「インポート...」をクリックすると表示されるダイアログで、CCO を選択して、名 前を付けることができます。ここで付けた名前は、「構成パッケージ ツール」の
「CCOs」タブに表示されます。
10.3.2 エクスポート
「エクスポート」機能を使って、データベースに保存されている CCO をエクスポー トした後、.cco 形式で使用することができます。