Anyware エージェントのセキュリティ証明書
PCoIP では、セッションを確立するために証明書が必要です。デフォルトでは、Anyware エージェントは PCoIP セッションを保護する自己署名証明書を生成します。PCoIP システムの各コンポーネントは、これらの自己署名証明書を生成でき、構成を必要とせずに自動的に連携します。
必要に応じて、HPの自己署名証明書に依存する代わりに、独自のカスタム証明書を作成して展開できます。このセクションでは、カスタム証明書を作成して実装する方法について説明します。
カスタムセキュリティ証明書の使用
OpenSSL、Microsoft 証明機関、または任意のパブリック証明機関 (CA) を使用して、証明書を作成できます。OpenSSL を使用していない場合は、認証局のドキュメントを参照して、Windows 証明書ストア互換形式で証明書を作成する手順を確認してください。
このセクションでは、OpenSSL を使用して、ルート署名証明書がわかっている場合に、ほとんどのセキュリティ スキャナー ツールを満たす証明書を生成する手順を示します。
注意: 証明書は Windows 証明書ストアに保存されます
証明書は、Windows 証明書ストアに格納されます。ホストに保存されている古い証明書がある場合は、競合や混乱を避けるために削除する必要があります。
カスタム証明書のガイドライン
独自の証明書を使用する場合は、次の一般的なガイドラインに従ってください。
ルート CA 署名証明書を安全な場所に保存して、クライアントに展開します。
秘密鍵と公開鍵を安全な場所にバックアップします。
パスワードで保護されていないネットワークドライブにキーまたは証明書を生成するときに作成されたファイルは絶対に保存しないでください。
証明書が Windows 証明書ストアに展開されると、証明書の元のファイルは不要になり、削除できます。
証明書の自動登録やグループ ポリシーなどの標準の自動ツールを使用して、自動生成された証明書を展開できます。証明書の自動登録とグループ ポリシーは、どちらも Active Directory を介して実装されます。詳細については、MSDN Active Directory のドキュメントを参照してください。
セッション前暗号化アルゴリズム
接続は、次のサポートされている RSA 暗号スイートを使用してネゴシエートされます。
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_AES_256_GCM_SHA384
注: 最小 SSL バージョン
これらの最大互換性セキュリティレベルの暗号スイートには、最低限必要な TLS 1.2 の SSL バージョンがあります。
セッション内暗号化アルゴリズム
PCoIP セッションがネゴシエートされ、接続が確立されると、すべての PCoIP 通信は AES-256-GCM セッション暗号化アルゴリズムによって保護されます。これらの設定は 、エージェントで構成できます。