サーバ証明書について

各 SEPM サーバーは、最初の管理サーバー設定ウィザードの実行中に、2048 ビットの SHA256RSA キーペアを使用して独自の自己署名証明書を生成します。この証明書は、SEPM ファイルシステム上の 2 つの場所と形式に保存されます。

• 証明書と秘密鍵は、Java キーストアに C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\etc\keystore.jks として保存されます。
• また証明書と秘密鍵は、Privacy Enhanced Mail（PEM）形式で、C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\apache\conf\ssl\server.crt と C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\apache\conf\ssl\server.key に保存されます。

セキュア通信

クライアントからマネージャへの通信

マネージャは、SEPM Apache サーバを介してクライアントからサーバへの通信をホストします。デフォルトでは、Apache サーバは、暗号化された HTTPS 接続には TCP ポート 443 を、暗号化されていない HTTP 接続には TCP ポート 8014 をリッスンします。

SEPM 14 では、新しくインストールされたマネージャはデフォルトで HTTPS 接続を受け入れるように設定されています。

マネージャ間通信

マネージャは、ポート 8443/HTTPS で SEPM Tomcat サーバを介して他のマネージャと通信します。接続は、C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Symantec に格納されている server.crt と server.key ファイルを使用して保護されます。

コンソールからマネージャへの通信

SEPM には、ローカル/リモートの Java コンソール、または Web コンソールからアクセスできます。ローカルおよびリモートの Java コンソールは、シマンテックが発行したコード署名証明書を使用して、シマンテックによってデジタル署名されています。Web コンソールは、SEPM Tomcat サーバによって生成され、ポート 8443/HTTPS 経由でアクセスされます。

Reporting Server 通信

SEPM Apache サーバは、ポート 8445/HTTPS で Reporting Server サイトをホストします。このサイトは、SEPM コンソールの [ホーム] [モニタ] [レポート] タブの情報も提供します。

Web サービス通信

SEPM Tomcat サーバが、ポート 8446/HTTPS で Web サービスサイトをホストします。

クライアントポリシー署名

マネージャは、keystore.jks に含まれる公開鍵を使用して、ホストするポリシーファイルに電子署名を付けます。クライアントは、ポリシーファイルのデジタル署名を、sylink.xml ファイル内のマネージャに関連付けられた証明書と比較します。

クライアントポリシーの暗号化

マネージャは、サイト内の最初の SEPM で作成された事前共有鍵を使用して、Twofish アルゴリズムでポリシーとコンテンツを暗号化します。このパスワードは、[サーバ証明書の管理] ウィザードを使用して新しい証明書を SEPM にインポートしても変更されません。クライアントは、sylink.xml ファイル内の kcs 値を使用してコンテンツを復号化します。