プロジェクト

全般

プロフィール

Wiki »

Sophos SafeGuard Enterprise 7.0 インストール

暗号化製品Sophos SafeGuard Enterprise (SGN)インストールに関するドキュメントです。

SGNではパフォーマンスの関係でSGNサーバとSQLサーバを分けることを推奨しています。
SGN5〜6でも応用可能ですが、5に関してはSQL Server2008、6に関してはSQL Server2012が必要です。
2014を利用した場合にインストールが完遂しません。SGN8以降で対応するものと思われます。

各種インストーラの入手

SQL Serverのインストール

まず前提となるSQLServerのインストールを行います。

  • データベース導入の前提環境設定
    1. 対象機機上のサーバマネージャを起動します。
    2. 「機能」→「機能の追加」→「.NET Framework 3.5.1の機能」をチェックします。
    3. ダイアログに従い、必要な役割サービスを追加します。
    4. 「役割サービスの選択」画面で「ASP.NET」「ISAPI拡張」「ISAPIフィルター」「基本認証」
      「Windows認証」「IIS管理コンソール」「IIS 管理スクリプトおよびツール」にチェックを
      行います。チェック時に必要な役割サービスを追加します。
  • データベースの導入(2014は未対応のため2008)
    1. 対象機機上で「SQLEXPR_x64_JPN.exe」を実行します。
    2. 一次展開先を選択します。(デフォルト)
    3. 「新既スタンドアロン インストール」を選択します。
    4. ライセンス条項に同意します。
    5. 「Microsoft Updateを使用して更新プログラムの取得」については適宜設定します。
      今回は試験導入のため取得を行いません。(チェックせずに進みます)
    6. 導入モジュールのチェック画面で「データベース エンジンサービス」がチェックされている
      ことを確認し進みます。
    7. 「インスタンスの構成」はデフォルトのまま進みます。
    8. 「サービスアカウント」「照合順序」はデフォルトのまま進みます。
    9. 「データベースエンジンの構成」では「サーバーの構成」タブで「混合モード」を選択します。
      ドメイン環境の場合は「Windows認証」を利用することも出来ますが、Windows認証に関する手順
      が別途複数必要になります。
    10. saアカウントのパスワードを指定し、次に進みます。
    11. インストールが開始されるので暫く待ちます。
    12. インストール完了後、残タスクがある場合再起動を促されるため再起動します。
  • 管理ツール(Management Studio)の導入(2014は未対応のため2008)
    1. 対象機機上で「SQLManagementStudio_x64_JPN.exe」を実行します。
    2. 一次展開先を選択します。(デフォルト)
    3. 「新既スタンドアロン インストール」を選択します。
    4. ライセンス条項に同意します。
    5. 「Microsoft Updateを使用して更新プログラムの取得」については適宜設定します。
      今回は試験導入のため取得を行いません。(チェックせずに進みます)
    6. 導入モジュールのチェック画面で「管理ツール基本、完全」「SQLクライアント接続SDK」が
      チェックされていることを確認し進みます。

SQL Serverに関する設定

  • SQL Serverユーザ設定(Windows認証の場合)
    1. SQL Server Management Studio を起動します。
    2. インストール時の設定に基づき、Windows認証でログインします。
    3. 「セキュリティ」を右クリックし、「新規作成」→「ログイン」を実行します。
    4. 「SQL Server認証」を選択し、「ログイン名」に「SGNManagement」など任意の
      名称とパスワードを登録します。
    5. 「パスワードポリシーを適用する」のチェックを外します。
    6. 規定のデータベースは「master」のままとします。
    7. 「ページの選択」→「サーバー ロール」を開きます。
    8. 「dbcreator」にチェックを入れて閉じます。
  • SQL Serverの設定
    ※32ビットと記載されている方は変更しません
    1. スタートメニューの「Microsoft SQL Server 2014」→「構成ツール」→「SQL Server 2014
      構成マネージャー」を開きます。
    2. ポートを動的にするか固定するかによって、以下いずれかの対応を行います。
      • 動的ポートの場合のみ
        1. 「SQL Serverのサービス」を開きます。
        2. 「SQL Server Browser」を右クリックし「プロパティ」を開きます。
        3. 「サービス」タブを開き、「開始モード」を「自動」に変更して閉じます。
        4. 「SQL Server Browser」を右クリックし「開始」を選択します。
      • 固定ポートの場合のみ
        1. 「TCP/IP」を右クリックし「有効化」を実行します。警告を確認して閉じます。
        2. 「TCP/IP」を右クリックし「プロパティ」を開きます。
        3. 「IPアドレス」タブの「IP All」の下の「TCP動的ポート」を空白にします。
        4. 「IPアドレス」タブの「IP All」の下の「TCPポート」を「1433」にして閉じます。
      • SQLサーバとMCサーバを別に立てる場合のみ
        1. 「SQL Serverネットワークの構成」→「SQLEXPRESSのプロトコル」を選択します。
        2. 「名前付きパイプ」を右クリックし「有効化」を実行します。警告を確認して閉じます。
      • 上記を実施後
        1. 「SQL Serverのサービス」を開きます。
        2. 「SQL Server (SQLEXPRESS)」を右クリックし「再起動」を実行します。
  • Windowsファイアウォールの設定
    1. 「管理ツール」→「セキュリティが強化されたWindowsファイアウォール」を実行します。
    2. 「受信の規則」→「新しい規則」を実行します。
    3. 「ポート」→「TCP」→「特定のローカルポート」に「1433」を指定します。
    4. 「接続を許可する」を選択します。
    5. 「ドメイン」「プライベート」「パブリック」いずれもチェックしたままにして進みます。
    6. 「名前」は「SafeGuard Enterprise」としておきます。

SafeGuard Enterprise のインストール

  • SGN Server のインストール
    1. SGNのインストーラ「sgn_70x_sfx.exe」を実行します。
    2. ここでは展開のみで、msiが実行されたりするわけではないので閉じるまで待ちます。
    3. 展開先のインストーラディレクトリ(C:¥sgn_70¥SGEnterprise¥Installers)に移動します。
    4. 「Backend installers」ディレクトリ内の「SGNServer.msi」を実行します。
    5. 「使用許諾」に同意して、セットアップは「完全」を選択します。それ以降はデフォルトで進めます。
      1. 完全を選択することで、SGNタスクスケジューラを追加インストールします。
        このサービスはDBのイベントログテーブルを定期的に削除に必要となります。イベントログは定期的に
        削除しないと深刻なパフォーマンス不良を起こすことがあるので必須となります。
    6. 完了したらインストーラを終了します。(バックエンドなので特に何も起きません)
  • SGN Management Center (MC)のインストール
    1. 展開先のインストーラディレクトリ(C:¥sgn_70¥SGEnterprise¥Installers)に移動します。
    2. 「Backend installers」ディレクトリ内の「SGNManagementCenter.msi」を実行します。
    3. 不足コンポーネントがある場合、ダイアログに従いインストールを行います。
    4. 「使用許諾」に同意して、セットアップは「標準」を選択します。
      1. (DBレベルで管理環境の異なる)複数のSGN環境に接続する場合「完全」を選択します。
        この場合、MC起動時にどのSGN環境に接続するかを選択することができるようになります。
    5. 完了したらインストーラを終了します。
    6. インストール完了後、再起動要求が発生する場合があります。
  • SGN Management Center (MC)の初期設定ウィザード
    1. スタートメニューから「SafeGuard(R) Management Center」を起動します。
    2. 初回起動の場合、初期設定ウィザードが起動します。これに従い設定を行います。
    3. 「データベースサーバとの接続」では下記を指定します。
      1. 接続の設定
        データベースサーバーに「SQLサーバ(自分)のIPアドレス¥SQLEXPRESS」を指定します。
      2. SSLを使う
        チェックしません。(事前にSQL Server側での設定が必要です。)
      3. サーバーに対してpingを実行する
        チェックします。
      4. 認証
        「次のログオン情報でSQL Server認証を使用する」にチェックします。
        「SGNManagement」ユーザ名とパスワードを指定します。
    4. 次へ進むと、ダイアログで接続確認に関する応答がありますので確認します。
    5. 「新しいデータベースを名前を付けて作成」を選択し、デフォルトの「SafeGuard」のまま進みます。
    6. 「セキュリティ担当者(MSO)のデータ」のIDと証明書を作成します。
      「MSOのID」に「mso」を指定します。
      「MSOの証明書」は空欄のまま「作成」ボタンを押し、ダイアログにパスワードを入力します。
    7. 「証明書のエクスポート」が行われるので、引き続きパスワードを入力し保存先を設定します。
      このファイルは復元に必要な非常に重要なファイルなので、厳重に保管しておいてください。
    8. 保存が完了したら次へ進みます。
    9. 「企業証明書」で「企業証明書を新規作成する」にチェックし、会社名を入力します。
    10. ハッシュアルゴリズムは「SHA-256」を選択します。(XP/Vista/7SP1以前はSHA-1のみの対応です)
    11. 次へ進むとデータベースが作成されるので暫く待ちます。
    12. 完了したらウィザードを閉じます。MCが自動的に起動します。
  • SGN Serverの設定(構成パッケージツール)
    1. スタートメニューから「SafeGuard(R) Management Center」を起動します。
    2. 「ツール」→「構成パッケージ ツール」を起動します。
    3. 「サーバ」タブを選択し「追加」ボタンを押します。
    4. 「サーバ証明書を選択してください」の「…」を押し、以下のファイルを指定します。
      「C:\Program Files (x86)\Sophos\SafeGuard Enterprise\MachCert\コンピュータ名.cer」
    5. サーバ名などの情報が追加されることを確認します。必要があれば編集し、OKボタンを押し閉じます。
      1. ここで編集可能な「サーバ名」が管理通信の行う際のアドレスに使用されます。
        この名前がDNSで名前解決できるか確認し、DNSでの解決が管理環境で難しい場合はIPアドレスを指定することもできます。
        管理通信方式をSSLにする場合、このサーバ名が証明書と一致するように命名します。
    6. 「サーバ用パッケージ」タブを選択します。
    7. 登録したコンピュータ名を選択します。
    8. 「構成パッケージの出力パス」の「…」をクリックし、出力先を選択します。
    9. 「構成パッケージの作成」ボタンを押し、パッケージ(コンピュータ名.msi)を作成します。
    10. 作成したmsiファイルをSGN Serverをインストールしているサーバ上で実行します。
      今回はSGN ServerとMCが同居構成なので、そのまま作成したmsiファイルを実行します。
    11. msiファイルはすべてデフォルトで実行を行います。

タスクスケジューラの設定

  1. 「管理ツール」から「サービス」を起動します。
  2. 「SafeGuard(R) Scheduler Service」を右クリックし、「プロパティ」を開きます。
  3. 「ログオン」のタブを開き、次の設定を行います。
    ログオン: アカウント
    DB接続に利用したアカウント名
    上記アカウントの
    パスワード
  4. 「SafeGuard(R) Scheduler Service」を再起動します。
  5. 上記でMCのタスクスケジューラが動作するようになります。

動作確認

  • IISの動作確認
    1. 「管理ツール」→「インターネットインフォメーションサービス マネージャ」を開きます。
    2. ツリー構造から「規定のWebサイト」以下の「SGNSRV」まで開きます。
    3. 右側の「アプリケーションの管理」以下の「*:80(http)」参照」を選択します。
    4. ブラウザで「SafeGuard Webサービス」が表示されます。
    5. 「CheckConnection」と表示されているリンクをクリックします。
    6. 遷移先の画面で「起動」ボタンを押します。
    7. 次のような画面が表示されることを確認します。
      <?xml version="1.0" encoding="utf-8" ?> 
  <string xmlns="http://tempuri.org/"><Dataroot><WebService>OK</WebService> <DBAuth>OK</DBAuth> <Info> <Database>SafeGuard</Database> <Server>localhost\SQLEXPRESS</Server> <Version></Version> <Name>DBFactorySql on process: w3wp Process ID: 1548</Name> <Owner>[dbo]</Owner> <ConnectionInfo>SQL Server credentials are used for authentication.</ConnectionInfo> </Info> </Dataroot></string>

インストールまでの作業はここで完了です。