Carbon Black センサー は、証明書を介して Sensor Gateway と通信します。Sensor Gateway は、CA 署名付き証明書と自己署名付き証明書の両方で実行できます。Carbon Black では、信頼された証明書を各マシンに個別にインストールする代わりに、必要なすべての証明書をすべての Sensor Gateway サーバに一度にインストールできるように、CA 署名付き証明書を使用することをお勧めします。

CA 書名付き証明書

認証局 (CA) が証明書を発行すると、証明書には完全修飾ドメイン名 (FQDN) が関連付けられ、CA を信頼するすべてのブラウザまたはデバイスがこの証明書と通信できます。

たとえば、sensorgateway.company.com という CA 署名付き証明書がある場合、ブラウザで開いたとき、または Carbon Black センサーSensor Gateway と通信しようとしたとき、マシンの完全修飾ドメイン名(FQDN)が証明書に一致していれば、証明書の検証エラーは発生しません。

CA 証明書を生成するプロセスでは、IP アドレスを割り当てることができます。ブラウザまたは Carbon Black センサー が、https://sensorgateway.company.com または IP アドレス(サブジェクトの代替名または共通名で使用可能)で Sensor Gateway と通信すると、ブラウザもセンサーもエラーを生成しません。

サブジェクトの代替名 (SAN) の IP アドレスと共通名 (CN) の FQDN を含む証明書があり、一部のセンサーが FQDN を使用して Sensor Gateway にアクセスし、他のセンサーが IP アドレスを介してアクセスする場合、Sensor Gateway エントリ ポイントを IP アドレスに登録する必要があります。これにより、Carbon Black Cloud がセンサーに URL を送信すると、URL は Sensor Gateway を指し示すように変更されます。

自己署名付き証明書

CA 署名付き証明書と同様に、自己署名付き証明書でも、証明書の生成時に提供される CN は、マシンの FQDN または IP アドレスと一致する必要があります。自己署名付き証明書を生成するときに、CN の入力を求められたら IP アドレスまたは FQDN を指定できます。たとえば、自己署名付き証明書の CN に IP アドレス 192.168.10.100 を使用する場合は、この同じ IP アドレスを持つ Sensor Gateway マシンにこの証明書をインストールする必要があります。そのように、センサーが Sensor Gateway にアクセスすると、証明書は有効になります。