IBM Support

QRadar EDR: EDR エージェントの証明書検証の管理

How To


Summary

この技術情報では、証明書検証の有効化、インストール、削除、確認する手順についてご説明します。さらに、証明書検証を無効化してインストールする手順も記載しており、EDR エージェントと Hive サーバー間の安全で信頼性の高い通信を確保するための明確なガイダンスを提供します。

以下の EDR エージェントのバージョンは、SSL 証明書検証を導入しています。
- Windows v3.12.5
- Linux v0.91.0
- MacOS v1.2.0

Objective

EDR エージェントとサーバー間の安全な通信のための証明書検証の確認、インストール、削除、および管理方法についてご説明します。

Steps

証明書検証の確認

このセクションでは、エンドポイントにインストールされている証明書が、証明書検証によるセキュアな接続を許可しているかどうか、およびエンドポイントの OS に基づいて確認する方法をご説明します。

  • Windows

    エージェントがすでにインストールされ登録されていると仮定し、管理者の PowerShell から以下のコマンドを実行します。

    -    C:\Program Files\ReaQta\keeper.exe --verify-check

    または、PowerShell のローカル・ユーティリティーを使用する場合:
    -    Invoke-WebRequest -Uri "https://<host>:<port>" -UseBasicParsing
    ここの <host> は QRadar EDR Hive のバックエンド・サーバーのホスト名(URL から「 https:// 」を除いたもの)、<port> はエージェント登録に使用するポート(通常、SaaS インスタンスの場合は 4443、CP4S オンプレミスの場合は 443 )になります。
  • Linux
    エージェントがすでにインストールされ登録されていると仮定し、シェルから以下のコマンドを実行します。
    -    sudo /etc/reaqtahive.d/keeperx --verify-check

    登録の問題でインストールに失敗した場合は、シェルから次のコマンドを実行して EDR Hive バックエンドの詳細を IBM サポートへご提供ください。
    -    sudo /etc/reaqtahive.d/keeperx --verify-check https://<hive_url>:<hive_port>

    あるいは、ローカルのユーティリティーをご使用ください。
    -    echo | openssl s_client -connect <host>:<port> -showcerts 2> /dev/null

    ここの <host> は QRadar EDR Hive のバックエンド・サーバーのホスト名(URL から「 https:// 」を除いたもの)、<port> はエージェント登録に使用するポート(通常、SaaS インスタンスの場合は 4443、CP4S オンプレミスの場合は 443 )になります。
     
  • Mac OS
    エージェントがすでにインストールされ登録されていると仮定し、シェルから以下のコマンドを実行します。
    -    sudo /Library/IBM\ Security\ ReaQta/keeperi --verify-check

    あるいは、ローカルのユーティリティーをご使用ください。
    -    echo | openssl s_client -connect <host>:<port> -showcerts 2> /dev/null

    ここの、<host> は QRadar EDR Hive のバックエンド・サーバーのホスト名(URL から「 https:// 」を除いたもの)、<port> はエージェント登録に使用するポート(通常、SaaS インスタンスの場合は 4443、CP4S オンプレミスの場合は 443 )になります。

証明書のインストール

このセクションでは、エンドポイントの OS に応じて、証明書をシステム証明書ストアにインストールする方法についてご説明します。

  • Windows 
    Windows エージェントは、ローカル・マシン証明書ストア ( Local Machine Certificate Store ) を使用してサーバー証明書チェーンを検証します。ローカルに「 .pem 」形式の完全な EDR Hive バックエンド証明書チェーンがあると仮定し、インストールを行うには、管理者権限のコマンド・プロンプトから certutil ツールを使用できます。
    •    certutil -addstore -enterprise -f "Root" Certificate-n.pem
     
  • Linux
    Linux では、証明書ストアは通常以下のいづれか 1 つになります。
    •    c_rehash ユーティリティ (参照: openssl-rehash ) で指定された構造に従ったシンボリック・リンクを持つ PEM 形式のすべての証明書を含むディレクトリー
    •    信頼できるすべての証明書を含む単一のバンドル・ファイル

    ストアの場所と証明書のインストール手順は、実際の Linux ディストリビューションによって異なります。異なる構成をサポートするために、エージェントは実行時に実際のディレクトリー/ファイルを見つけることができます。使用中の証明書ストアは、エージェント起動時のログに記録されます。

    システム証明書ストア
    以下のリストは、Linux エージェントがサポートするシステム証明書ストアの場所を文書化したものです。

    ファイル (証明書バンドル・ファイルを想定):
    •    /etc/ssl/certs/ca-certificates.crt (Ubuntu, Debian, 派生したOS)
    •    /etc/pki/tls/certs/ca-bundle.crt (Red Hat, CentOS, Fedora, 派生したOS)
    •    /etc/ssl/ca-bundle.pem (SUSE, OpenSUSE)
    •    /usr/local/share/ca-certificates/ca-bundle.crt (ユーザーがインストールしたバンドル)
    •    /etc/pki/tls/cacert.pem (Red Hat ベースのシステムでの代替パス)

    ディレクトリー ( c_rehash 互換のシンボリック・リンク構造を想定):
    •    /etc/ssl/certs (Ubuntu, Debian, 派生したOS, 大半のディストリビューション)
    •    /etc/pki/tls/certs (Red Hat, CentOS, Fedora, 派生したOS)
    •    /usr/local/share/ca-certificates (Ubuntu, Debian, 派生したOS上のユーザーがインストールした証明書)
    •    /usr/share/ca-certificates (Ubuntu, Debian, 派生したOS上のシステムCA証明書)

    必要な証明書をインストールするには、お使いの Linux ディストリビューションとお客様の組織が提供する適切な手順や指示に従ってください。EDR チームが検証した参考手順を以下に記載します。EDR Hive のバックエンドの証明書チェーン全体を「 .crt 」形式でローカルに用意されていることを前提としています。
     
    Debian ベースのマシン( Debian 8、9、10、11、12、Ubuntu 16、20、22、24 )の場合、以下のコマンドを使用して証明書をインストールします。
    •    sudo cp <Hive EDR Backend Certificates>.crt /usr/local/share/ca-certificates (必要な証明書を証明書ストアのディレクトリにコピーする。)
    •    sudo update-ca-certificates

    Red-hat ベースのマシン( Amazon Linux 2、CentOS 6、7、8、CentOS Stream 8、9、Oracle Linux 7、8、9、Rocky Linux 8、9、Red Hat Enterprise Linux 6、7、8、9 )の場合、以下のコマンドを使用して証明書をインストールします。
    •    sudo cp <Hive EDR Backend Certificates>.crt /etc/pki/ca-trust/source/anchors/ (必要な証明書を証明書ストアのディレクトリにコピーする。)
    •    sudo update-ca-trust enable
    •    sudo update-ca-trust extract

    SUSE ベースのマシン( OpenSUSE 15、SUSE 12、15 )の場合、以下のコマンドを使用して証明書をインストールします。
    •    sudo cp <Hive EDR Backend Certificates>.crt /etc/pki/trust/anchors/ (必要な証明書を証明書ストアのディレクトリにコピーする。)
    •    sudo update-ca-certificates
     
  • Mac OS 
    証明書を手動でデプロイする
    EDR Hive のバックエンドの証明書チェーン全体が「 .pem 」形式でローカルに用意されていることを前提としています。
    1. Mac の Keychain Access アプリにアクセスします。
    2. 「 System keychain 」を選択します。
    3. 証明書ファイルを Keychain Access アプリにドラッグします。
    4. 名前とパスワードの入力を求められたら、該当のコンピュータの管理者ユーザーの名前とパスワードを入力します。
    5. 各証明書をダブルクリックし、インストールしたばかりの証明書に明示的に信頼を付与します。
    6. 「 信頼する( Trust ) 」の横にある「 > 」をクリックすると、証明書の信頼ポリシーが表示されます。
    7. 証明書を「常に信頼する( Always Trust )」に設定します。

    MDM (モバイル・デバイス管理) 経由で証明書をデプロイメントする
    ルート証明書をデプロイするため、「証明書( Certificate )」ペイロードを使用して MDM ポリシーを構成してください。
    証明書のペイロードがデバイスにプッシュされると、MacOS エンドポイントはプロファイルの構成に基づき、すべての関連サービス( SSL/TLS など)に対して証明書への信頼を自動的に付与します。デバイスへの CA および中間証明書チェーンのデプロイメントの詳細については、MDM ベンダーへご確認ください。

証明書の削除

このセクションでは、エンドポイントの OS に応じてシステム証明書ストアへ以前にインストールされた証明書を削除する方法についてご説明します。

  • Windows
    Windows のシステム証明書ストアから証明書をアンインストールするには、管理者権限で PowerShell から certutil ツール(コマンド)を使用できます。
    信頼されたルート認証局から証明書を削除するには:
    • certutil -delstore "Root" "<certificate_name>.pem"

    信頼された中間認証局から証明書を削除するには:
    • certutil -delstore "CA" "<certificate_name>.pem"

  • Linux
    Debian ベースのマシン( Debian 8、9、10、11、12、Ubuntu 16、20、22、24 )の場合、以下のコマンドを使用して証明書を削除します。
    •    sudo rm /usr/local/share/ca-certificates/<Hive EDR Backend Certificates>.crt (証明書ストア・ディレクトリの証明書を削除する。)
    •    sudo update-ca-certificates –f

    Red-hat ベースのマシン( Amazon Linux 2、CentOS 6、7、8、CentOS Stream 8、9、Oracle Linux 7、8、9、Rocky Linux 8、9、Red Hat Enterprise Linux 6、7、8、9 )の場合、以下のコマンドを使用して証明書を削除します。
    •    sudo rm /etc/pki/ca-trust/source/anchors/<Hive EDR Backend Certificates>.crt (証明書ストア・ディレクトリの証明書を削除する。)
    •    sudo update-ca-trust enable
    •    sudo update-ca-trust extract

    SUSE ベースのマシン( OpenSUSE 15、SUSE 12、15) の場合、以下のコマンドを使用して証明書を削除します。
    •    sudo rm /etc/pki/trust/anchors/ <Hive EDR Backend Certificates>.crt (証明書ストア・ディレクトリの証明書を削除する。)
    •    sudo update-ca-certificates -f
  • Mac OS
    証明書を手動で削除する
    1. Mac の Keychain Access アプリにアクセスします。
    2. システム( System Keychain )を選択し、検索バーを使用して名前で証明書を見つけます。
    3. 証明書を右クリックし、「削除( Delete )」を選択します。プロンプトが表示されたら、管理者パスワードを入力して削除します。
    4. 任意として推奨されるのは、キャッシュされた証明書設定がクリアされるようにエンドポイントを再起動することです。

    MDM (モバイル・デバイス管理) 経由で証明書を削除する
    MDM は通常、MDM プロファイルによって管理・制御されます。大まかに、以下のことが求められます。
    •    MDM ポリシーから CA ルート証明書と中間証明書を削除します。デバイスに適用されているポリシーを特定し、MacOS エンドポイントを管理している企業の MDM ソリューションを使用して、MDM ポリシーから構成済みの信頼された証明書を削除します。
    •    ポリシーを再配布して、デバイスから強制的に証明書を削除します。

    ルート証明書と中間証明書の削除の詳細、およびデプロイ済みの信頼証明書をデバイスから削除する方法については、MDM ソリューション・ベンダーにお問い合わせください。

証明書検証の有効化

このセクションでは、エンドポイントの OS に応じて証明書検証を有効にする方法についてご説明します。デフォルトでは、以下の場合、証明書検証は無効になっています。

-    デフォルトで、古いバージョンからインストールを行い、以下に更新されたエージェントの場合

  • Windows v3.12.5
  • Linux v0.91.0
  • MacOS v1.2.0

-    no-verify フラグを使用してインストールされたエージェントの場合

  • Windows
    現在設定されている EDR Hive バックエンドとの接続が検証できることを確認します。詳細については、「証明書検証の確認」セクションをご参照ください。

    Windows エージェントの「アンインストールの保護( Protected Uninstall )」機能が無効になっていると仮定し、管理者権限で PowerShell から以下のコマンドを実行します。
    • C:\Program Files\ReaQta\keeper.exe --enforce-verify
    • sc.exe stop keeper
    • sc.exe start keeper

  • Linux
    現在設定されている EDR Hive バックエンドとの接続が検証できることを確認します。詳細については、「証明書検証の確認」セクションをご参照ください。

    シェルから以下のコマンドを実行します。
    •    sudo systemctl stop keeperx
    •    sudo /etc/reaqtahive.d/keeperx --enforce-verify
    •    sudo systemctl start keeperx
     
    CentOS 6 で実行する場合は、以下を実行します。
    •    sudo service stop keeperx
    •    sudo /etc/reaqtahive.d/keeperx --enforce-verify
    •    sudo service start keeperx
  • Mac OS
    現在設定されている EDR Hive バックエンドとの接続が確認できることを確認します。詳細については、「証明書検証の確認」セクションをご参照ください。

    シェルから以下のコマンドを実行します。
    •    sudo /bin/launchctl unload /Library/LaunchDaemons/com.ibm.security.reaqta.plist
    •    sudo /Library/IBM\ Security\ ReaQta/keeperi --enforce-verify
    •    sudo /bin/launchctl load /Library/LaunchDaemons/com.ibm.security.reaqta.plist

証明書検証を無効化したインストール

インストール中に証明書検証の問題が発生した場合、設定オプションを使用して証明書検証を完全に無効にしてエージェントをインストールすることができます。以下は、エンドポイントの OS に応じて証明書検証を無効にする方法についてご説明します。

  • Windows
    MSI パッケージを経由する初回の EDR エージェントのデプロイ時に、EDR Hive の詳細パラメータの一部として「 --no-verify 」オプションを指定してください。
  • Linux
    初回の EDR エージェントのデプロイ時に、Linux パッケージをインストールする際に EDR Hive の詳細パラメータの一部として「 --no-verify 」 オプションを指定してください。

    Debian ベースのエンドポイントの例:
    •    sudo RQTPARAMS="https://<URL> --no-verify" dpkg -i <installer>.deb

    RPM ベースのエンドポイントの例:
    •    sudo RQTPARAMS="https://<URL> --no-verify" rpm -i <installer>.rpm
  • Mac OS
    インストール・ウィザードを経由する初回の EDR エージェントのデプロイ時に、EDR Hive の詳細パラメータの一部として 「--no-verify」 オプションを指定してください。

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB77","label":"Automation Platform"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSOO77","label":"IBM Security QRadar EDR"},"ARM Category":[{"code":"a8m3p0000000rbnAAA","label":"Support-\u003EAdministration Task"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Product Synonym

ReaQta

Document Information

Modified date:
10 April 2025

UID

ibm17230307

Page Feedback