Sensor Gateway のインストール用に各 Linux サーバを設定するには、次の手順を実行します。

前提条件

  • SSL 署名付き証明書をプロビジョニングします。次のいずれかを選択します。
    • 認証局 (CA) 署名付き証明書この証明書が優先されます。詳細については、Sensor Gateway 証明書 を参照してください。
    • 自己署名付き証明書。この証明書は、各センサー ワークロードのトラスト ストアにこれらの証明書をプッシュする必要があります。詳細については、Sensor Gateway 証明書 を参照してください。
    注: 使用している証明書のプライベート キーが必要です。
  • CA 署名付き証明書、または Online Certificate Status Protocol (OCSP) レスポンダを持つ内部証明書がある場合は、証明書チェーン全体をプロビジョニングする必要がある場合があります。Sensor Gateway は、証明書とそのチェーンを使用して OCSP 応答を取得し、すべての要求とホチキス留めします。これにより、センサーが OCSP レスポンダに直接アクセスできなくなります。

    証明書チェーンの構成を提供する任意のオンライン サービスを使用して、証明書チェーン ファイルを生成します。詳細については、証明書チェーン ファイルの作成 を参照してください。

  • Sensor Gateway サーバの固定 IP アドレスを取得します。
  • DNS エントリを予約します。例:sensorgateway.company.com

    環境に Sensor Gateway をインストールするには、その DNS をサーバに以前に割り当てた IP アドレスにマッピングします。

    FQDN を使用して Sensor Gateway を構成する場合は、IP アドレスへの DNS マッピングを使用します。
    注: IP アドレスのみを使用し、IP アドレスを CN と同じにして証明書を作成できます。
  • センサーが Sensor Gateway にアクセスできることを確認します。
  • Sensor Gateway がインターネットに接続されていることを確認します。Sensor Gateway には、Carbon Black Cloud への接続が必要です。ただし、デジタル証明書の有効性に関する Online Certificate Status Protocol (OCSP) 応答を取得するには、CA プロバイダにアクセスする必要がある場合があります。
  • プロキシの後ろで Sensor Gateway を実行するには、プロキシを使用するように Docker クライアントを構成します。詳細については、「プロキシ サーバを使用するように Docker クライアントを構成する」を参照してください。
  • Sensor Gateway のプロキシ機能を使用していて、Sensor GatewayCarbon Black Cloud の間にプロキシ サーバがある場合は、プロキシを介して Carbon Black Cloud URL にアクセスできることを確認する必要があります。更新サーバのミラーを設定する場合は、プロキシ経由でもアクセス可能であることを確認します。
  • 環境が必要なネットワーク設定で構成されていることを確認します。詳細については、「ファイアウォールの構成」を参照してください。
  • ファイアウォールの設定でポート 443 の projects.registry.vmware.com がブロックされていないことを確認します。

手順

  1. サーバに root としてログインし、OpenSSL がインストールされていることを確認します。
    まだインストールしていない場合は、システム パッケージ マネージャを使用して OpenSSL をインストールします。
  2. 証明書を準備します。
    1. SSL 証明書ファイルに sgw_certificate.pem という名前を付けます。
    2. SSL 証明書のプライベート キー ファイルに sgw_key.pem という名前を付けます。
    3. (自己署名付き証明書を使用している場合は、この手順を省略します。)SSL 証明書チェーン ファイルに sgw_chain.pem という名前を付けます。
    4. (自己署名付き証明書を使用している場合は、この手順を省略します。)証明書が有効かどうかを確認するには、次のコマンドを実行します。 
      openssl verify -CAfile sgw_chain.pem sgw_certificate.pem
      証明書が有効な場合は、次の応答が得られます: sgw_certificate.pem: OK
    5. ルート レベルで /data フォルダを作成し、サーバに次のサブフォルダを作成します。
      • /data/certs - 証明書、キー、およびオプションで証明書チェーン ファイルを保存します。
      • /data/logs - 実行時に生成されたログを保存します。
    6. 証明書、プライベート キー、チェーン ファイルを /data/certs ディレクトリにコピーします。
      注: 自己署名付き証明書を使用している場合は、チェーン ファイルは必要ありません。
  3. スクリプトをダウンロードします。これは各サーバに Sensor Gateway を個別にインストールして設定します。 
    wget https://prod.cwp.carbonblack.io/sgw/installer/linux/1.2.0/sensor_gw_install.zip
  4. Sensor Gateway インストール zip ファイルをダウンロードした場所で解凍します。シェル スクリプト sensor_gw_install.sh を見つけます。
  5. デフォルトでは、シェル スクリプトは実行可能ではありません。次のコマンドを実行して、スクリプトを実行可能にします。 
    chmod +x sensor_gw_install.sh
  6. Sensor Gateway 登録 API キーを取得します。
    詳細については、 Sensor Gateway API キーのプロビジョニング を参照してください。

次のタスク

Sensor Gateway をインストールします。