--- id: "18941" aliases: - "18941" tags: [] Slack: https://g-gen.slack.com/archives/CDBNPLL2X/p1721714340844459 Zendesk: https://topgate-support.zendesk.com/agent/tickets/18941 --- # 18941 ## 2024-07-23 Incoming [Case#18926]で対応していただいていますが、サポートからの連絡に対してメールが返信できないため、こちらで再度リクエスト送信しています。 ■【メール送信エラー】 Address not found Your message wasn't delivered to gcp-support@topgate.co.jp because the address couldn't be found, or is unable to receive mail. The response was: The account h_ikeya@ptw.inc is disabled. ■【サポートからのメールに対する弊社の回答】 サポート可能な範囲について承知しました。 可能な限りで問題ありません。 対象インスタンスでは、特にコマンド実行はしていません。 DeepSecurityのAgent導入していましたが、動作していなかったためログ(/var/log/dmsg)を確認しました。Shield VMのセキュアブート有効であること、TrendMicroの証明書がLoadされていないことを確認しています。 セキュアブートがファームウェアレベルで証明書を登録してカーネルレベルで制御するためGCP仕様に依存すると理解しています。 TrendMicroの証明書は、der形式のファイルを弊社で所持しています。 セキュアブート有効時のインスタンスで証明書を追加登録する方法をご教示いただきたいです。(OSレベルで変更可能なのか?カスタムイメージ作成してインスタンス作成からの実施なのか?方法が複数ある場合、各方法についてご教示いただければと思います。) ■【サポートからのメール】 From: TOPGATE GCP サポートチーム Sent: Tuesday, July 23, 2024 2:32 PM To: 池谷 英和 Subject: セキュアブート有効のインスタンスへのキー登録について [Case#18926] ##- 返信の際は、この行より上にご記入ください -## TOPGATEサポート (Google Cloud サポート) 2024/7/23 14:32 JST ユニ・チャーム株式会社 池谷 様 お世話になっております、株式会社G-gen(旧: 株式会社トップゲート)の高井です。 お問い合わせいただきありがとうございます。ご質問いただいた内容について下記にご案内いたします。 インスタンス(CentOS 7)でセキュアブートを有効にしています。 セキュアブートを有効にしているため、DeepSecurityのAgentを導入するもAgentが動作しませんでした。TrendMicroの証明書が登録されていなかったので、そちらが原因かと思いましたので、追加登録をしたいです。登録方法をご教示願います。 まず前提といたしまして、 CentOS 7 環境の Compute Engine インスタンスにつきましては2024年6月30日で OS 本体のサポートが終了[1]しております。 そのため、当窓口や Google による調査・検証サポートにつきましても正確なご案内ができかねてしまいますことを予めご了承くださいませ。 上記の状況ではございますが、ご案内できる情報があるかを含め Google への連携も検討しつつ確認・調査進めさせていただきます。 つきましては、当該インスタンスにて実行されたコマンド手順ならびにエラー内容についてご共有いただけますでしょうか。 [1] CentOS 7 - CentOS のサポート終了に関するガイダンス (Google Compute Engine 公式 ドキュメント) https://cloud.google.com/compute/docs/eol/centos-eol-guidance?hl=ja#centos_7 ご不便おかけし恐れ入りますが、どうぞよろしくお願いいたします。 ________________________________________ ※株式会社トップゲートは2024年7月1日付で株式会社G-genと合併し、同時に「株式会社G-gen」へ社名を変更いたしました。 その他所在地や法人番号などは変更ございません、本件に関するお問い合わせも(この文面を送っているサポートアドレス)へご連絡ください。 H Ikeya 2024/7/22 13:22 JST インスタンス(CentOS 7)でセキュアブートを有効にしています。 セキュアブートを有効にしているため、DeepSecurityのAgentを導入するもAgentが動作しませんでした。TrendMicroの証明書が登録されていなかったので、そちらが原因かと思いましたので、追加登録をしたいです。登録方法をご教示願います。 ※ファイル(der形式)については、TrendMicroから用意されています。 追加で登録法 可能であれば業務影響範囲を最小にしたいため、オンラインやOSレベルの操作と再起動にて対応可能であれば、ご教示願います。 弊社にて確認したマニュアルが下記となります。 【カスタムのシールドされたイメージの作成 】 https://cloud.google.com/compute/shielded-vm/docs/creating-shielded-images?hl=ja *--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--*--* 株式会社トップゲート GCPサポートチーム MAIL: gcp-support@topgate.co.jp ## 2024-07-24 Sent ユニ・チャーム株式会社 池谷 様 お世話になっております、株式会社G-gen(旧: 株式会社トップゲート)の高井です。 ご確認いただきありがとうございます。現在弊社にて内容を確認しております。 お待たせしており恐れ入りますが、ご案内まで少々お時間いただけますと幸いです。 引き続きよろしくお願いいたします。 -------------------------------------------------------------------------------------------------------------------- ※株式会社トップゲートは2024年7月1日付で株式会社G-genと合併し、同時に「株式会社G-gen」へ社名を変更いたしました。 その他所在地や法人番号などは変更ございません、本件に関するお問い合わせも(この文面を送っているサポートアドレス)へご連絡ください。 ## 2024-07-25 Sent ユニ・チャーム株式会社 池谷 様 お世話になっております、株式会社G-gen(旧: 株式会社トップゲート)の高井です。 ご確認、ご状況を共有いただきありがとうございます。下記にご案内いたします。 > セキュアブート有効時のインスタンスで証明書を追加登録する方法をご教示いただきたいです。(OSレベルで変更可能なのか?カスタムイメージ作成してインスタンス作成からの実施なのか?方法が複数ある場合、各方法についてご教示いただければと思います。) こちらにつきましては、恐れ入りますが既存のインスタンスに追加で登録する方法はございません。 ただし Shielded VM 機能[1]を使用したカスタムイメージを使用することで可能となっております。 今回、池谷 様がご所望されているセキュアブートの証明書について、Shielded VM を用いた設定手順の公式ドキュメント[2]を添付いたします。 OpenSSL コマンドが実行可能な環境にて操作いただければと存じます。 また、Google Cloud 公式ドキュメント外の情報とはなりますが Trend Micro 公式ヘルプ記事[3]にて、より詳細な手順も記載がございますので併せて参考にいただければ幸いです。 [1] Shielded VM とは? (Compute Engine 公式ドキュメント) https://cloud.google.com/compute/shielded-vm/docs/shielded-vm?hl=ja [2] セキュアブートの証明書の設定 - カスタムのシールドされたイメージの作成 (Compute Engine 公式ドキュメント) https://cloud.google.com/compute/shielded-vm/docs/creating-shielded-images?hl=ja#generating-security-keys-certificates [3] Google Cloud Platformのセキュアブートキーの登録 - AgentのLinux Secure Bootの設定 (Trend Micro Deep Security ヘルプセンター) https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/agent-linux-secure-boot.html#UEFI ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。 -------------------------------------------------------------------------------------------------------------------- ※株式会社トップゲートは2024年7月1日付で株式会社G-genと合併し、同時に「株式会社G-gen」へ社名を変更いたしました。 その他所在地や法人番号などは変更ございません、本件に関するお問い合わせも(この文面を送っているサポートアドレス)へご連絡ください。