証明書の安全な転送

日々新しいセキュリティ問題が発生する中、組織は堅牢なセキュリティ メカニズムを備えた製品の重要性を理解しています。UIM 20.3.3 は、安全なチャネルを介して
ハブからロボット
に証明書をシームレスに転送できるようにすることで、セキュリティをさらに強化しました。セキュア バスを使用すると、ハブからロボットに証明書を手動でドラッグ アンド ドロップする必要がなくなりました。完全なプロセスは手動操作なしで自動的に実行されるため、通信の安全性が確保され、データが改ざんされることはありません。
環境を保護する完全なフローが含まれる「セキュア ハブおよびロボット」の記事を確認してください。証明書の安全な転送は、全体的なプロセスに含まれるステップの 1 つです。
以下の図は、プロセスの概要を示しています。
以下のトピックでは、情報を説明します。
2
概要としては、特定のハブを参照するターゲット ロボットを含むホワイトリスト ファイルを作成します。その後、hub.cfg ファイルを設定します。ホワイトリスト ファイルとハブの設定に基づいて、証明書は安全なチャネルを介してターゲット ロボットに転送されます。ハブは、1 分ごとにホワイトリスト ファイルを読み取ります。
考慮事項
以下の考慮事項を確認します。
  • 環境内でトンネルを設定する必要があります。
  • distsrv または ADE プローブの最新バージョン(UIM 20.3.3 で使用可能)が展開されている必要があります。
  • この機能は、UIM 20.3.3 でリリースされたロボットおよびハブ パッケージに適用されます。
  • 特定のロボットがオンラインではない場合、そのロボットでは証明書の転送は行われません。
  • パッシブ ロボットの場合、証明書の転送は機能しません。
  • トンネル サーバは認証局(CA)として動作します。
  • ホワイトリスト ファイルは手動で作成するか、コールバックを使用できます。
ホワイトリスト設定ファイルの作成
ホワイトリスト設定ファイル(robots_certs_details.cfg)を、..\Nimsoft\hub\changes の場所に作成します。このファイルに、証明書を転送するロボットのリストを追加します。ロボットは、証明書の転送先のハブを指す必要があります。対応するハブは、このファイルを読み取って証明書を転送するロボットを決定します。このファイルは、すべての必須ハブに追加する必要があります。ハブは、1 分ごとにファイルを読み取ります。
コールバックを使用してホワイトリスト ファイルを作成することもできます。コールバックがファイルを作成し、ロボット情報がそのファイルに追加され、「changes」フォルダに配置されます。コールバックは、これらのタスクを自動的に実行します。ただし、コールバックを使用している場合、一度に 1 つのロボット エントリのみを追加できます。詳細については、「コールバックを使用したホワイトリスト ファイルの作成」を参照してください。
以下の手順に従います。
  1. ..\Nimsoft\hub\ の場所に移動します。これは、証明書をターゲットロボットに転送するためのハブで、そのハブを指しています。
  2. ..\Nimsoft\hub\ フォルダの下に「changes」という名前の新しいフォルダを作成します。
  3. 「changes」フォルダに移動します。
  4. 「changes」フォルダの下に、以下の情報を記載した robots_certs_details.cfg ファイルを作成します。
    <certs> <robotname> name=robot_name_ABC commonName=10.xx.xxx.xx expiry_in_days=6 location=<keep_blank> deployed=no </robotname> </certs>
    すべてのターゲット ロボットの情報を追加します。
  5. パラメータを確認します。
    • name: 証明書を転送するロボットの名前を指定します。このロボットは同じハブを指します。
    • commonName: ターゲット ロボットの IP を指定します。
    • expiry_in_days: 証明書の有効期限を指定します。空白のままにすると、デフォルトの有効期限(1 年)とみなされます。
    • location: 生成された証明書ファイル(<robot_name>.pem)が格納される場所を指定します。この段階では、証明書転送プロセスがまだ開始されていないため、このパラメータは空です。
    • deployed: ターゲット ロボットの証明書の展開ステータスを指定します。デフォルト値は
      no
      で、展開が行われていないことを意味します。証明書が正常に展開されると、値は自動的に
      yes
      に変更されます。
  6. 変更を保存します。
ホワイトリスト ファイルを正常に作成しました。他のハブのファイルを作成するには、同じ手順に従います。
コールバックを使用したホワイトリスト ファイルの作成
ホワイトリスト ファイルを手動で作成しない場合は、コールバックを使用して作成できます。ただし、コールバックを使用して一度に追加できるロボットは 1 つのみです。
以下の手順に従います。
  1. ハブ(トンネル クライアントまたはトンネル サーバ)用のプローブ ユーティリティ(pu)を開きます。証明書を転送するロボットが、このハブを指していることを確認します。
  2. [ドロップダウン]リストから、[secure_transmission_add_robot_to_certs_whitelist]コールバックを選択します。
  3. 以下の情報を入力します。
    1. robotName: 証明書を転送するターゲット ロボットの名前を指定します。このロボットは、このコールバックを実行しているハブを指す必要があります。
    2. commonName: ターゲット ロボットの IP アドレスを指定します。
    3. expiry_in_days: 証明書の有効期限が切れるまでの日数を指定します。値を指定しない場合は、デフォルトの有効期限(1 年)が使用されます。
  4. コマンド リクエストを実行します。
ホワイトリスト ファイル(robots_certs_details.cfg)が、..\Nimsoft\hub\changes フォルダに作成されます。以下のスニペットは、生成されたファイルの例を示しています。
<certs> <robotname> name=robotname_ANC commonName=10.xx.xxx.xx expiry_in_days=10 location= deployed=no </robotname> </certs>
ホワイトリスト ファイルを正常に作成しました。他のハブのホワイトリスト ファイルを作成するには、同じ手順に従います。転送が完了していないため、deployed の値はまだ no です。同様に、証明書はまだ転送されていないため、location フィールドは空白です。
hub.cfg ファイルの設定
ホワイトリスト ファイルを作成した後、hub.cfg ファイルを設定して、証明書の安全な転送を有効にする必要があります。この設定は、証明書の転送に使用するドメイン内のすべてのハブに対して行う必要があります。この設定が完了した後にのみ、証明書を安全に転送するプロセスが開始されます。
以下の手順に従います。
  1. ..\Nimsoft\hub\hub.cfg ファイルに移動します。
  2. ファイルを開き、以下のパラメータを追加します。
    • enable_secure_cert_transmission: 安全なチャネルを介して、ハブからロボットに証明書を転送するプロセスを有効にするかどうかを指定します。これを行うには、値を
      yes
      として追加します。
    • get_all_robots_certs: ハブを指しているすべてのロボットに証明書を転送するか、ホワイトリスト ファイルにすでにリストされているロボットのみに証明書を転送するかを指定します。デフォルト値は
      no
      で、ターゲット ロボットの識別にホワイトリスト ファイルを使用することを意味します。値を
      yes
      に変更すると、証明書はそのハブを指すすべてのロボットに転送され、ホワイトリスト ファイルをオーバーライドします。
  3. 変更を保存します。
hub.cfg ファイルは正常に設定されました。
hub.cfg ファイルが設定されると、転送プロセスが開始し、以下のタスクを実行します。
  • 以下のファイルがハブの ..\Nimsoft\hub\robots_certs フォルダに追加されます。
    • <robot_name>.pem
    • robots_certs_details.cfg
      このファイルは、ホワイトリスト ファイルに基づいて作成され、..\Nimsoft\hub\changes\ フォルダに配置されます。このファイルの作成後、ホワイトリスト ファイルは ..\Nimsoft\hub\changes\ フォルダから削除されます。..\Nimsoft\hub\changes\robots_certs_details.cfg ファイルに加えられた変更は、作成済みの ..\Nimsoft\hub\robots_certs\robots_certs_details.cfg ファイルに追加されます。
    • robots_certs_details.cfx
  • 以下のパラメータは、..\Nimsoft\hub\robots_certs\robots_certs_details.cfg ファイルで追加/更新されます。
    • password: ランダムに生成された暗号化パスワードを指定します。
    • location: 生成された証明書ファイル(<robot_name>.pem)が格納される場所を指定します。例:
      location = robots_certs/<robot_name>.pem
    • deployed: 値を yes に更新します。
  • 証明書はリストに記載されたロボットに転送されます。証明書の .pem ファイルがターゲットの ..\Nimsoft\robot\certs にコピーされます。
    • <robot_name>.pem
  • robot.cfg ファイルが証明書の場所で更新されます。
    • proxy_private_key=robot/certs/<robot_name>.pem
    • proxy_ca_location= robot/certs/<robot_name>.pem
    • proxy_cert=robot/certs/<robot_name>.pem
    • proxy_private_key_password=/123456ZO7/0134QVSRf4
  • hub.cfg ファイルは robot_certs_issuing_hub パラメータを追加します。このパラメータは、ターゲットロボットに証明書を発行しているハブを示します。例:
    robot_certs_issuing_hub=/<domain_name>/<hub_name>/<robot_name>
証明書の安全な転送の検証
hub.cfg ファイルが適切に設定されている場合、転送プロセスを開始し、証明書を必要な場所に発行します。転送が正常に行われたかどうかを検証できます。
以下の手順に従います。
  1. ..\Nimsoft\hub\robots_certs_details.cfg ファイルを開きます。
  2. deployed
    パラメータの値を特定します。
    • 値が
      yes
      の場合、証明書がターゲット ロボットに正常に転送されたことを意味します。
    • 値が
      no
      の場合、証明書は正常に展開されていません。
ステータスを正常に検証できました。
ホワイトリスト ファイルから情報を取得する
ホワイトリスト ファイルから情報を取得することができます。たとえば、ホワイトリスト ファイルに含まれるすべてのロボットを取得できます。
以下の手順に従います。
  1. ハブ(トンネル クライアントまたはトンネル サーバ)用のプローブ ユーティリティ(pu)を開きます。
  2. [ドロップダウン]リストから、[secure_transmission_get_robot_certs_whitelist]コールバックを選択します。
  3. コマンドを実行します。
    特定のロボットに関する情報を取得する場合は、フィールドにロボット名を入力できます。
    ホワイトリスト ファイルに含まれるすべての情報を取得されます。
  4. 情報を確認します。
uimapi API の使用
UIM 20.3.3 でリリースされた最新の uimapi パッケージを使用して、以下のタスクを実行することもできます。
  • ホワイトリスト ファイルからロボット証明書情報を取得する。
  • ホワイトリスト ファイルにロボット証明書情報を追加する。
ホワイトリスト ファイルからロボット証明書情報を取得
この手順を使用して、特定のハブのホワイトリスト ファイルからロボット証明書情報を取得できます。
以下の手順に従います。
  1. uimapi にアクセスします。
  2. ハブ セクションを展開します。
  3. 以下のエンドポイントを検索し、展開します。
    GET /hubs/{domain}/{hub}/{robot}/robotcertswhitelist
  4. 以下の情報を入力します。
    1. domain: ドメイン名を指定します。
    2. hub: ホワイトリスト ファイルに関連するハブを指定します。
    3. robot: ハブ ロボットの名前を指定します。
    4. (オプション) robotname: ホワイトリスト ファイルから証明書情報を取得する特定のロボットの名前を指定します。
  5. API を実行します。
    応答が生成され、応答にはロボット証明書に関する情報が含まれます。
ホワイトリスト ファイルにロボット証明書情報を追加
この手順を使用して、特定のハブのホワイトリスト ファイルにロボット証明書情報を追加できます。
以下の手順に従います。
  1. uimapi にアクセスします。
  2. ハブ セクションを展開します。
  3. 以下のエンドポイントを検索し、展開します。
    POST /hubs/{domain}/{hub}/{robot}/robotcertswhitelist
  4. 以下の情報を入力します。
    1. domain: ドメイン名を指定します。
    2. hub: ホワイトリスト ファイルに関連するハブを指定します。
    3. robot: ハブ ロボットの名前を指定します。
    4. robotCert: robotname、commonName、および証明書の有効期限を含むペイロードを日数で指定します。
      <RobotCert> <commonName>10.xx.xxx.xxx</commonName> <expiry_in_days>3</expiry_in_days> <robotName>ANC</robotName> </RobotCert>
  5. API を実行します。
    応答が生成され、ロボット証明書がホワイトリスト ファイルに追加されます。プロセスのその他のすべての残りの手順は、同じ方法で実行されます。