mTLS 宛先の構成

相互 TLS 認証 (mTLS) を使用して宛先を構成するには、「宛先の追加」ウィザードのドロップダウン・リストから mTLS プロトコルを選択します。

手順

  1. 宛先の追加の手順に従います。
  2. 「プロトコル」 リストから、 mTLSを選択します。
  3. 以下の必要な情報を入力します。
    オプション 説明
    TLS トラストストア・ソース このオプションは、 WinCollect が TLS 接続を開始するときに、サーバーの認証に使用する証明書を決定します。 この設定を構成する手順については、 Windows 証明書ストアを使用した TLS 宛先の構成 を参照してください。
    ホスト名の検証 接続が確立される前に、サーバーのホスト名が着信サーバー証明書の共通名またはサブジェクト代替名のいずれかと一致することをクライアントが検証するかどうかを選択します。
    重要: 提供された証明書がサーバーに属していることを確認するために、このオプションは有効のままにしておくことをお勧めします。 これを無効にすると、クライアントは、サーバーに属さない着信証明書を受け入れることができます。
  4. 「クライアント証明書ソース」を選択します。
    このオプションは、 mTLS 接続の構成に使用する証明書のタイプを決定します。 この選択によって、どのフィールドが必須であるかが決まります。
    1. クライアント証明書ファイル、暗号化された秘密鍵ファイル、およびパスフレーズを使用するには、 「証明書と鍵」 を選択します。 このオプションには、以下のフィールドが必要です。
      mTLS クライアント証明書 「@」の後に、PEM 形式のファイルへのファイル・パスを指定します。 このファイルには、 WinCollect がサーバーへの TLS 接続を開始するときにクライアント認証に使用する 1 つ以上の証明書が含まれている必要があります。 単一の証明書または証明書のチェーンを使用できます。
      mTLS クライアント秘密鍵

      「@」の後に、PEM 形式のファイルへのファイル・パスを指定します。 このファイルには、クライアント証明書の生成に使用される秘密鍵が含まれている必要があります。

      パスフレーズで暗号化された RSA 鍵または ECC 鍵を使用する必要があります。

      mTLS のパスフレーズ mTLS クライアント秘密鍵の暗号化に使用するパスフレーズを入力します。
    2. 証明書と秘密鍵を含む PKCS#12 (PFX) 形式のファイルを使用するには、 PKCS#12 ファイル」 を選択します。 PKCS#12 ファイルを暗号化解除するためのパスフレーズも指定する必要があります。
      mTLS クライアント証明書と鍵ペア 「@」の後に、 PKCS#12 (PFX) 形式のファイルへのファイル・パスを続けて使用します。 このファイルには、 WinCollect がサーバーへの TLS 接続を開始するときにクライアント認証に使用する証明書、および関連付けられた秘密鍵が含まれている必要があります。 単一の証明書または証明書のチェーンを使用できます。
      注: ファイルに含めることができる秘密鍵と関連証明書のペアは 1 つのみです。 複数のペアが存在する場合は、最初に見つかったペアのみが使用されます。 ファイルにさらに証明書が含まれている場合、それらの証明書は証明書チェーンとして組み込まれます。
      mTLS のパスフレーズ PKCS#12 ファイルの暗号化に使用するパスフレーズを入力します。 PKCS#12 ファイルはパスフレーズを使用して暗号化する必要があるため、このフィールドは必須です。
    3. ローカル・マシン上の Windows 証明書ストアにインストールされている証明書および関連付けられた秘密鍵を使用するには、 「Windows 証明書ストア」 を選択します。 証明書には、対応する秘密鍵がインストールされている必要があり (例えば、 .p12 ファイルとしてインストールすることによって)、秘密鍵はインストール時に 「エクスポート可能」 として設定されている必要があります。
      mTLS クライアント証明書ストア これは、クライアント証明書を検索する証明書ストアです。 この証明書ストアは、ローカル・マシンで使用可能でなければなりません。 特定のユーザーのみが使用可能なストアは検査されません。
      注: Windows 証明書管理コンソールに表示される証明書ストア名は、実際の証明書ストア名の別名である場合があります。 通常、 PowerShell (ls Cert:\LocalMachine\) を使用して、実際の証明書ストア名を見つけることができます。
      mTLS クライアント証明書 ID

      クライアント証明書が Windows 証明書ストアで識別される方式。 オプションは、分かりやすい名前またはサムプリントのいずれかです。 フレンドリー名オプションがデフォルトです。

      mTLS クライアント証明書の通称

      Windows 証明書ストア内の証明書で分かりやすい名前として設定されている値。

      mTLS クライアント証明書のサムプリント これは、使用する証明書のサムプリント ( SHA1 ハッシュ) です。 この値は、Windows 証明書管理コンソールの証明書の 「詳細」 で確認できます。
  5. 「保存」をクリックします。
    WinCollect エージェントは、相互認証で TLS を使用して宛先への接続を試みます。
    注: mTLS を使用して接続するために提供されるクライアント証明書が有効であることを確認するために、クライアント証明書の有効期限がまもなく切れるときにメッセージがログに記録されます。 この検査は、宛先が最初に接続したときに実行され、 INFO メッセージとしてログに記録されます。 また、間もなく有効期限が切れるクライアント証明書ごとに、 WARN メッセージが毎日ログに記録されます。 拡張 UI の 「証明書の有効期限警告しきい値」 パラメーターを更新することにより、これらの警告をトリガーする証明書の有効期限が切れるまでの残り時間を構成できます。 デフォルトのしきい値は 30 日です。