エージェントクライアントコレクター (ACC) プラグインの自己署名証明書を作成し、署名を確認して、署名されたプラグインをエンドポイントデバイスで検証できるようにします。
始める前に
- ローカルコンピューターに ACC プラグイン tar.gz ファイルを作成します。
- OpenSSL がローカルコンピューターにインストールされていることを確認します。
必要なロール:admin
手順
-
次のコマンドを使用して、2048 ビット RSA キーと、有効期間が 1 年の対応する自己署名証明書を生成します。
openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj "/C=IN/ST=TG/L=HYD/O=servicenow/OU=acme/CN=sign"
このコマンドは、秘密鍵 (sign.key) と公開証明書 (sign.crt) を作成します。
-
秘密鍵を使用してプラグインファイルに署名します。
openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 plugin name.tar.gz
-
署名検証のために証明書から公開鍵を抽出します。
openssl x509 -in "sign.crt" -pubkey -noout > pubkey.pem
-
公開鍵を使用して署名を確認し、ファイルが正しく署名されていることを確認します。
openssl dgst -sha256 -verify pubkey.pem -signature sign.txt.sha256 plugin name.tar.g
-
Base64 を使用して署名ファイルをエンコードし、ACC エージェントがプラグインを検証できるようにします。
-
署名されたプラグインを保存するディレクトリを作成します。
-
プラグインアーカイブと署名ファイルを新しいディレクトリーに移動します。
mv plugin name.tar.gz signed-plugin/
mv sign.txt.sha256_encode64.sig signed-plugin/
-
新しいディレクトリに移動します。
-
プラグインアーカイブと署名ファイルの両方を含む tar.gz ファイルを作成します。
tar -C . -zcvf ../sign-test.tar.gz *
-
次のいずれかのオプションを使用して、自己署名証明書 (sign.crt) をコピーして、ACC エージェントの証明書ディレクトリ ([agent_root]/cert) に配置します。
- ファイルを手動でコピーします。
- Jamf や Microsoft Intune などのデバイス管理ユーティリティを使用して、証明書をエージェントデバイスに配布します。
-
証明書をエージェントの信頼ストアに追加します。
-
署名済みの ACC プラグインを ServiceNow インスタンスにアップロードします。