プラグインのセキュアな OpenSSL 署名を有効にする

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:3分

    • エージェントクライアントコレクター プラグインの自己署名証明書を作成します。次の手順は、OpenSSL を使用して x509 証明書を作成する方法の例を示しています。その他の証明書タイプについては、OpenSSL のドキュメントを参照してください。

    始める前に

    • プラグイン署名を検証するには、エージェントの acc.yml ファイルで verify-plugin-signature プロパティが True に設定されていることを確認します。
    • OpenSSL がシステムにインストールされていることを確認します。
    必要なロール:agent_client_collector_admin

    このタスクについて

    プラグインの OpenSSL セキュア署名メカニズムを有効にすると、Linux システムにインストールされた エージェントクライアントコレクター で機能します。

    手順

    1. tar.gz 拡張子のプラグインファイルを作成します。
      詳細については、「エージェントクライアントコレクタープラグインの作成と編集」を参照してください。
    2. プラグインファイル用の独自のセキュアな自己証明書を生成します。
      1. x509 証明書を作成します。 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. プラグインファイルに署名します。 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        または、認証局を使用してプラグインに署名することもできます。その場合は、証明書に .pem 形式を割り当てて、エージェントの cert ディレクトリに配置します。

      3. 署名が正しく構成されていることを確認します。 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        ファイルが有効な場合、出力は [検証済み OK (Verified OK)] になります。
      4. 署名の証明書を base64 コーディングでエンコードします。 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        sign.txt.sha256_encode64.sig ファイルが作成されます。
    3. 次のコマンドを実行して新しいディレクトリを作成し、tar.gz および sign.txt.sha256_encode64.sig ファイルを挿入します。
      1. mkdir signed-plugin
      2. mv <plugin-name>.tar.gz signed-plugin
      3. mv sign.txt.sha256_encode64.sig signed-plugin
      4. cd signed-plugin
    4. 最初の tar.gz ファイルに対して実行したのと同じコマンドを実行して、別の tar.gz ファイルを作成します。
      1. tar -C . -zcvf ../<plugin-name>.tar.gz *
      2. cd..
        注:
        新しいファイルを ../<plugin-name>.tar.gz として保存し、現在のディレクトリに存在する元の <plugin-name>.tar.gz ファイルとの名前の競合を回避します。
    5. 新しい tar.gz プラグインファイルをインスタンスにアップロードします。
    6. プラグインファイルを active=trueとして設定します。
    7. config フォルダーにあるエージェントの cert ディレクトリに sign.crt を配置します。
    8. acc.yml ファイルで、verify-plugin-signaturetrue に設定します。