SSL、暗号化、その他のセキュリティ設定

Incredibuildコンポーネントへのアクセスを保護するためのSSL証明書の使用

Incredibuild コンポーネント (Coordinator または Agent) をインストールする場合、インストールウィザードで、 または、サイレントインストール中に、独自の SSL 証明書を追加することをお勧めします。

注意: UNCを使用したリモートマシンからのファイルのインポート(例: ˶remote_machine ˶coordinator.crt )はサポートされていません

クラウドマシンを使用している場合、クラウド設定 で証明書をアップロードします。

注意: 独自の証明書をアップロードしない場合、Incredibuild は一般的な自己署名証明書を使用して通信を暗号化します。ただし、この証明書は信頼されていないため、CoordinatorのユーザーインターフェイスにアクセスするたびにChromeが警告を発することがあります。この警告を毎回無視することも可能ですが、セキュリティ向上のため、独自の証明書を使用することをお勧めします。

重要: インストール後に証明書を追加または変更するには、support@incredibuild.com にご連絡ください。

対応フォーマット

以下の証明書及び鍵のフォーマットに対応しています。各証明書には専用の秘密鍵があります。

項目 対応フォーマット
証明書の種類 X.509, PEM
証明書の拡張子 .pem, .crt
証明書の鍵エンコードの種類タイプ PKCS#1
証明書のカギの拡張子 .key

Coordinator証明書の有効性を確認する

Incredibuildは、Incredibuildマシン間で通信が開始される度に、SSL証明書を確認します。Coordinator証明書を検証する際、以下の項目を検証します:

  • コモンネーム(CN): ホストPCの名前と完全に一致しているか確認します。ワイルドカード表現が使用可能です。

  • 認証局(CA): 証明書に署名した認証局。

  • 有効期限: 証明書が期限切れでないことを検証します。

  • 証明書失効リスト(CRL): OCSPを使用していない場合、証明書がオペレーティング システムのCRLに記載されていないか確認します。

  • Online Certificate Status Protocol OCSP):証明書にOCSPが指定されている場合、証明書が失効していないか確認するためにOCSPを使用します。OCSP 検証を機能させるには、証明書に OCSP アドレスを含める必要があり、Incredibuild はその場所と通信可能な状態出なければなりません(ファイアウォールをチェックしてください)。

Agent証明書の有効性を確認する

Incredibuildは、Incredibuildマシン間で通信が開始される度に、SSL証明書を確認します。Agent証明書を検証する際、以下のフィールドを検証します:

  • コモンネーム(CN):正規表現を使ってCNを検証できます。(詳しくは後述)。

  • 認証局(CA): 証明書に署名した認証局。

  • 有効期限: 証明書が期限切れでないことを検証します。

  • 証明書失効リスト(CRL): 証明書がオペレーティングシステムのCRLに掲載されていないことを確認します。

正規表現による検証Agent名

AgentのコモンネームをホストPC名と直接照合するのではなく、正規表現を使って検証することができます。

例えば、すべてのマシン名が「Agent123」(123は動的な数字)の形式である場合、正規表現を使用してそのパターンを定義することができます。そして、名前が正規表現に一致するAgentは、証明書の検証プロセス中に検証されます。

正規表現は999文字以下である必要があります。

コマンドの例:

.rnd1.example.com で終わる名前を検証する

[a-zA-Z]*[.-]?(rnd\d{1})[.-]?[a-zA-Z]*[.-]?[a-zA-Z]*

rnd*.example.comで終わる名前を検証する

つまり、john.rnd12.example.comとdan.rnd3.example.comは有効で、george.sales.example.comは無効ということになります。

[a-zA-Z]*[.-]?(rnd[0-9]*)[.-]?[a-zA-Z]*[.-]?[a-zA-Z]*

エージェントの検証に正規表現を使用するには、コーディネーター モニター>Coordinator の設定>一般>ネットワーク領域で、有効な正規表現を追加します。

通信の暗号化

独自の証明書をアップロードしたかどうかにかかわらず、Incredibuildの内部コンポーネント間の通信を暗号化することができます。通常、これらのマシンが同じ環境上にあるため、デフォルトでは、CoordinatorとAgentの間の通信は暗号化されません。通信を暗号化するには、コーディネーター モニター>Coordinator 設定 > 一般 > ネットワーク 領域の暗号化通信 にチェックを入れ、通信を管理するための安全なポートを指定します。

制限事項: Backup Coordinator との通信はすべて暗号化されません。

ユーザーがデフォルトの分散プロファイルを変更できないようにする

いくつかの技術をサポートするため、Incredibuild は分散動作の変更にカスタムプロファイルを使用できます。これにより、どのツールをグリッド上でリモート稼働させるかを選択できます。[Coordinator Monitor] > [Settings] > [General] ページにアクセスし、[Allow changes to default distribution profile] チェックボックスのチェックを外すと、ユーザーが使用できないようにできます。