Client Security for Macとポリシーマネージャ間の接続の問題を解決する

ホストが登録されていない場所でClient Security for Macとポリシーマネージャの接続に問題が発生した場合は、mpkgパッケージのエクスポート時に使用したポリシーマネージャのアドレスを使用して、SafariでポリシーマネージャサーバのウェルカムページをHTTPSプロトコルで開いてみてください。ウェルカムページのコンテンツを読み込む前に証明書の警告が表示された場合は、ここに記載されている手順に従って、適切な信頼関係を確立してください。

ポリシーマネージャサーバまたはポリシーマネージャプロキシに接続するためには、Client Security for Macが適切に作成したサーバ証明書が必要です。証明書は、管理対象クライアントがポリシーマネージャサーバまたはポリシーマネージャプロキシの接続アドレスとして使用しているIPアドレスまたは完全修飾DNS名に対して発行されます。ポリシーマネージャサーバまたはポリシーマネージャプロキシがDNSアドレスを適切に自動解決できない（外部DNSレコードがホスト名と異なるなど）場合は、以下のadditional_java_argsを使用して、カスタム証明書のプロパティを明示的に設定してください。

```
certAdditionalDns
```
で、サブジェクトの代替名の追加DNS値のコンマ区切りリストを指定します
```
certAdditionalIp
```
で、サブジェクトの代替名の追加IPアドレス値のコンマ区切りリストを指定します
```
certForceSubject
```
でTLS証明書を上書きできます。subject（件名）には、サブジェクトの生成に必要なすべての値のコンマ区切りのリストが必要です。

注: additional_java_argsについては、次の記事を参照してください：https://community.f-secure.com/business-suite-en/kb/articles/5631-policy-manager-advanced-configuration-settings.

証明書の更新を強制するには

ポリシーマネージャサーバ：
1. ポリシーマネージャのサービスを停止します。
2. c:\Program Files (x86)\F-Secure\Management Server 5\data\fspms.jksまたは/var/opt/f-secure/fspms/data/fspms.jks（オペレーティングシステムによって異なります）を削除します。
3. ポリシーマネージャのサービスを開始します。証明書はサービスの起動時に作成されます。
ポリシーマネージャプロキシ：
1. ポリシーマネージャプロキシのサービスを停止します。
2. c:\Program Files (x86)\F-Secure\Management Server 5\bin\または/opt/f-secure/fspms/bin（オペレーティングシステムによって異なる）にあるfspmp-enroll-tls-certificateツールを実行して、ポリシーマネージャサーバから新しい証明書を要求します。
3. ポリシーマネージャプロキシのサービスを起動します。

ポリシーマネージャのCAとして使用するために社内で信頼されている中間CAがない場合は、社内のMacホストで自動生成されたCAを引き続き使用することができます。macOS 11.0 Big Sur以降、Client Security for Macはシステム証明書の信頼設定を変更できなくなりましたが、DNS名でアドレス指定されているポリシーマネージャインスタンスとの安全な通信のために信頼関係を確立する必要があります。そのため、macOS 11.0以降では、ポリシーマネージャのルートCA証明書をシステムキーチェーンで明示的に信頼する必要があります（macOSは拡張子が.cerまたは.pemの証明書を受け入れます）。

CA証明書をエクスポートするには、ポリシーマネージャサーバがインストールされているコンピュータでこのコマンドを実行します。

Windows：

"c:\Program Files (x86)\F-Secure\Management Server 5\jre\bin\keytool.exe" -keystore "c:\Program Files (x86)\F-Secure\Management Server 5\data\fspms-ca.jks" -alias fspm-ca -exportcert -file fspms-ca.cer -rfc -protected

Linux：

/opt/f-secure/fspms/jre/bin/keytool -keystore /var/opt/f-secure/fspms/data/fspms-ca.jks -alias fspm-ca -exportcert -file fspms-ca.cer -rfc -protected

fspms-ca.cerをMacのホストに転送し、以下のコマンドを実行してシステムレベルで信頼します（管理者ののパスワードを入力するように求められます）。
```
sudo security add-trusted-cert -d -r trustRoot -p ssl -k "/Library/Keychains/System.keychain" "path/to/certificate/file/fspms-ca.cer"
```
注: MDMソリューションを使用して、CA証明書を社内のすべてのMacホストに導入することもできます。
すべての手順が完了すると、新しく追加された証明書が「KeychainAccess.app」に次のように表示されます。

ポリシーマネージャサーバのウェルカムページがSafariで表示され、サイト証明書が信頼されていることがわかります。