Tenable Nessus Manager 証明書と Tenable Nessus Agent
エージェントを Tenable Nessus Manager にリンクすると、エージェントが Tenable Nessus Manager にリンクする際に使用するべき証明書をオプションで指定できます。これによってエージェントが Tenable Nessus Manager とリンクする際に、Tenable Nessus Manager からのサーバー証明書を検証することができ、その後のエージェントと Tenable Nessus Manager の間の通信を安全に行うことができます。Tenable Nessus Agent へのリンクの詳細については、Nessuscli を参照してください。
リンク時に、認証局 (CA) の証明書を指定しない場合、リンクされた Tenable Nessus Manager から CA 証明書を受け取り、信頼します。これによりその後のエージェントと Tenable Nessus Manager の通信を安全に行うことができます。
注意: Tenable Nessus Manager 証明書に自己署名証明書または信頼できない証明書を使用する場合、その証明書はリンク先のエージェントによって信頼される必要があります。信頼されていない場合、エージェントと Tenable Nessus Manager との接続が失われます。詳細は、カスタム CA を信頼するを参照してください。
リンク時にエージェントが受け取る CA 証明書は次の場所に保存されます。
Linux
/opt/nessus_agent/var/nessus/users/nessus_ms_agent/ms_cert.pem
Windows
C:\ProgramData\Tenable\Nessus Agent\nessus\users\nessus_ms_agent\ms_cert.pem
macOS
/Library/NessusAgent/run/var/nessus/users/nessus_ms_agent/
トラブルシューティング
エージェントが完全な証明チェーンをたどれない場合は、エラーが発生しエージェントはマネージャーとの接続を停止します。このようなイベントの例は、以下のセンサーログに表示されます。
-
nessusd.messages - 例: Server certificate validation failed: unable to get local issuer certificate
-
backend.log - 例: [error] [msmanager] SSL error encountered when negotiating with <Manager_IP>:<PORT>.Code 336134278, unable to get local issuer certificate, error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
シナリオ : 証明書チェーンが壊れているためエージェントがマネージャーと通信できない
証明書チェーンが壊れる原因としてよくあるのは、Tenable Nessus Manager のサーバー証明書を変更したものの、CA 証明書を更新していないことです。この場合、エージェントは、再起動後にマネージャーと通信できなくなります。この問題を解決するには、以下の中から 1 つを実行してください。
-
エージェントと Tenable Nessus Manager のリンクを解除して、再度リンクします。そうすることで証明書がリセットされ、エージェントが Tenable Nessus Manager から適切な CA 証明書を受け取るようになります。
-
また、cacert.pem ファイルを Tenable Nessus Manager から手動でアップロードし、エージェントのプラグインディレクトリの custom_CA.inc ファイルにロードすることもできます。
-
エージェントがすでに CA 証明書を持っている CA を使用して新しいサーバー証明書を Tenable Nessus Manager 上に生成し、証明書チェーンがまだ有効であるようにします。