Verwalten von Tanium-Schlüsseln

Tanium as a Service verwaltet automatisch die digitalen Schlüssel und Zertifikate, die Verbindungen zwischen den Komponenten der Tanium Core Platform sichern.

Übersicht über Tanium-Schlüssel

TLS-Kommunikation

Das Tanium™-Protokoll verwendet Transport Layer Security (TLS) 1.2, um die Kommunikation zwischen den folgenden Plattformkomponenten zu verschlüsseln, wie in Abbildung 1dargestellt:

1	Tanium Server zu Tanium Server in einer aktiv-aktiven Verteilung Für einige Kommunikationen zwischen aktiv-aktiven Servern, wie z. B. Tanium-Datenbankverkehr und LDAP-Synchronisierungsverkehr (Lightweight Directory Access Protocol), verwenden Tanium Appliances IPsec anstelle des Tanium-Protokolls.
	Tanium Server an Zonenserver-Hub Abbildung 1 zeigt den Zonenserver-Hub, der auf einem Host installiert ist, der von den Tanium Server-Hosts getrennt ist, um zu veranschaulichen, dass die Verbindung verschlüsselt ist. In den meisten Windows-Verteilungen und allen Appliance-Bereitstellungen installieren Sie den Hub jedoch auf demselben Host/denselben Hosts wie die Tanium Server.
	Zonenserver-Hub an Zonenserver
	Tanium Clients (extern) zu Zonenserver
	Tanium Clients (intern) an Tanium Server
	Tanium Client zu Tanium Client (extern und intern) Nur Tanium Client 7.4 oder höher verwendet TLS, um Peer-Traffic zu verschlüsseln.

Abbildung 1: Tanium Protokoll Kommunikation

Wenn Sie Tanium Core Platform 7.4 oder höher installieren oder aktualisieren, ist TLS standardmäßig für die Kommunikation zwischen Plattformkomponenten aktiviert. Einzelheiten zu TLS und die Schritte zum Aktivieren oder Deaktivieren finden Sie unter Referenzhandbuch zur Verteilung der Tanium Core Platform: Einrichten der TLS-Kommunikation.

Tanium-Schlüssel sichern nur Tanium-Datenverkehr. Die Public-Key-Infrastruktur (PKI) Ihres Unternehmens regelt die Sicherheit der Nicht-Tanium-Kommunikation zwischen den Endpunkten in Ihrem Netzwerk.

Sie benötigen die reservierte Administratorrolle, um Tanium-Schlüssel zu verwalten.

Um die Schlüssel zu verwalten, die Verbindungen zwischen den Komponenten der Tanium Core Platform über Hypertext Transfer Protocol Secure (HTTPS) anstelle des Tanium-Protokolls sichern, siehe Referenzhandbuch zur Verteilung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

Einzelheiten zu den Schlüsseln, die verwendet werden, um Inhaltsdateien zu signieren und zu authentifizieren, die Sie in den Tanium Server importieren, finden Sie unter Authentifizieren von Inhaltsdateien.

Die Tanium Core Platform unterstützt TLS für zusätzliche Verbindungen, die verschiedene Tanium-Module und geteilte Dienste benötigen. Einzelheiten hierzu finden Sie im Benutzerhandbuch für Ihre Tanium-Produkte unter https://docs.tanium.com.

Root-Keys

Wenn Sie den Tanium Server installieren, generiert er automatisch ein Public-Private-Root-Key-Paar. Diese Root-Keys befinden sich ganz oben in der Tanium-Schlüsselinfrastruktur und sind für alle untergeordneten Schlüssel erforderlich, um Verbindungen zwischen Komponenten der Tanium Core Platform abzusichern. Sie können den öffentlichen Root-Key während der Installation oder Aktualisierung an den Zoneserver, Zoneserver-Hub oder die Tanium Clients verteilen, sodass diese Komponenten ihre Kommunikation mit dem Tanium Server absichern können.

Der Tanium Server verwendet separate Root-Key-Paare für die TLS-Kommunikation mit Tanium Clients, die auf ihrer Version basieren. Direkt nach einer Neuinstallation oder Aktualisierung verwendet der Tanium Client 7.4 oder höher den öffentlichen Root-Key mit dem Server Namen <Tanium Server FQDN> Root 0 (siehe Abbildung 3). Jeder neue öffentliche Root-Key, den Sie für Version 7.4 oder höher erstellen, verfügt über einen einzigartigen Server Namen im Format <Tanium Server FQDN> Root <#>. Der öffentliche Root-Key für Tanium Client 7.2 hat den Server Namen legacy-root. Sie können keine neuen Schlüssel für Version 7.2 erstellen.

Untergeordnete Schlüssel

Der Tanium Server, Zoneserver, Zoneserver-Hub und Tanium Clients generieren untergeordnete Schlüssel lokal und fordern eine digitale Signatur für jedes Schlüsselpaar an. Die Signaturen sind für die TLS-Kommunikation erforderlich. Die Tanium Core Platform verwendet die folgenden untergeordneten Schlüssel, wie in Abbildung 2 gezeigt:

TLS-Schlüssel: Jeder Tanium Core Platform-Server und Tanium Client verwendet TLS-Schlüssel, um die TLS-Kommunikation mit anderen Servern und Clients zu ermöglichen. Der Tanium Server verwendet den privaten Root-Key, um Signaturen für die Server-TLS-Schlüssel zu generieren.
Schlüssel für die Nachrichtensignierung: Der Tanium Server verwendet diese Schlüssel, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Tanium Server verwendet den privaten Root-Key, um eine Signatur für die Schlüssel für die Nachrichtensignierung zu generieren.
TLS-Zwischenschlüssel: Ein privater TLS -Zwischenschlüssel wird verwendet, um Signaturen für die TLS-Schlüssel von Tanium Clients zu generieren. Das TLS -Zwischenschlüsselpaar befindet sich auf dem Zoneserver in Bereitstellungen, die über diesen verfügen (wie in Abbildung 2 gezeigt), und andernfalls auf dem Tanium Server. Der Server gibt sowohl die Signatur als auch den öffentlichen TLS-Zwischenschlüssel an jeden Client zurück, um die TLS -Kommunikation zu ermöglichen. Die Verwendung von TLS-Zwischenschlüsseln anstelle der Root-Keys für diese Funktion macht die Client-Registrierung schneller und weniger CPU-intensiv. Zur Sicherheit können Sie die Zwischenschlüssel unabhängig von den Root-Keys rotieren.

Eine Kopie des öffentlichen Root-Keys befindet sich im Installationsverzeichnis des Zoneserver-Hubs, unabhängig davon, ob der Hub auf dem gleichen Host wie der Tanium Server (wie in Abbildung 2 gezeigt) oder auf einem dedizierten Host installiert ist.

Um die Kommunikation zwischen den Servern der Tanium Core Platform zu ermöglichen, müssen Sie auch das Vertrauen aktivieren. Einzelheiten hierzu finden Sie unter Tanium Server-Vertrauen verwalten und Zoneserver und Hubs verwalten.

Schlüsselrotation

Obwohl Root-Keys niemals ablaufen, können Sie sie rotieren, was bedeutet, dass neue Schlüssel generiert und die alten Schlüssel widerrufen werden. Das Rotieren von Schlüsseln ist nützlich, wenn Ihre Organisation über eine Richtlinie für die regelmäßige Schlüsselrotation verfügt oder die Sicherheit der aktiven Schlüssel angezweifelt wird. Wenn die Sicherheit der aktiven Root-Keys angezweifelt wird, sollten Sie diese sofort rotieren.

Wenn Ihre Organisation keine Schlüsselrotationsrichtlinie anwendet, ist das bewährte Verfahren, die Root-Keys mindestens einmal pro Jahr zu rotieren, aber nicht mehr als einmal alle sechs Monate.

Sie können die Root-Keys für Tanium Client 7.2 nicht rotieren. Die Tanium Console identifiziert die 7.2-Root-Keys über den Server-Wert legacy-root (siehe Abbildung 3).

Um die Sicherheit von privaten Root-Keys sicherzustellen, zeigt die Tanium Console nur öffentliche Root-Keys an. Wenn Sie jedoch einen öffentlichen Schlüssel generieren oder widerrufen, erzeugt der Tanium Server automatisch den privaten Schlüssel und widerruft ihn. Wenn Sie die Root-Keys rotieren, rotiert die Tanium Core Platform automatisch alle untergeordneten Schlüssel. Unabhängig davon, ob Sie die Root-Keys rotieren, werden die untergeordneten Schlüssel automatisch in konfigurierbaren Intervallen rotiert.

Die folgenden Schritte fassen den Arbeitsablauf für das Rotieren von Schlüsseln zusammen:

(Optionales bewährtes Verfahren) Verschlüsseln Sie auf jedem Tanium Server die Datei pki.db, die die Root-Keys, Tanium Server-TLS-Schlüssel und Schlüssel für die Nachrichtensignierung enthält. Dies ist eine einmalige Aufgabe, die Sie durchführen, um unbefugte Zugriffe auf die Schlüssel zu verhindern. Siehe Die Root-Key-Datenbank verschlüsseln.
(Optionales bewährtes Verfahren) Erstellen Sie eine Sicherheitskopie der Datei pki.db, die sich auf jedem Tanium Server befindet, falls auf den Servern später ein nicht behebbarer Fehler auftritt. Tun Sie dies immer, wenn Sie die Root-Keys rotieren. Siehe Sicherungskopie der Root-Keys erstellen.
Wenn Ihre Organisation über eine Schlüsselrotationsrichtlinie verfügt, konfigurieren Sie die automatische Rotation für untergeordnete Schlüssel gemäß dieser Richtlinie. Dies ist eine einmalige Aufgabe, es sei denn, Ihre Richtlinie ändert sich. Siehe Rotation für untergeordnete Schlüssel konfigurieren.
Generieren Sie einen neuen öffentlichen Root-Key. Der Tanium Server generiert automatisch einen neuen entsprechenden privaten Schlüssel und löst die Erstellung neuer untergeordneter Schlüssel aus. Siehe Root-Keys generieren.
Warten Sie als bewährtes Verfahren eine Woche, bevor Sie die alten Root-Keys widerrufen, um sicherzustellen, dass der Prozess der Erstellung neuer Schlüssel für alle Komponenten der Tanium Core Platform abgeschlossen wurde. Wenn Sie die Schlüssel widerrufen, benötigen alle Komponenten, die diesen Prozess noch nicht abgeschlossen haben, mehr Berechnungsressourcen und Netzwerkverkehr, um neue Schlüssel zu generieren. Wenn jedoch die Sicherheit der Root-Keys in Zweifel steht, sollten Sie die alten Schlüssel sofort nach dem Generieren der neuen Schlüssel widerrufen.
Widerrufen Sie den alten öffentlichen Root-Key. Der Tanium Server widerruft automatisch den zugehörigen privaten Schlüssel und überträgt die Widerrufsanweisung für die alten Root-Keys und untergeordneten Schlüssel zu allen Komponenten der Tanium Core Platform. Einzelheiten finden Sie unter Root-Keys widerrufen.

Root-Key-Informationen anzeigen

Die Seite Administration > Configuration (Konfiguration) > Tanium Server > Root Key Management (Verwaltung des Root-Schlüssels) enthält eine Kachel für jeden aktiven öffentlichen Root-Key und ein Raster, das Widerrufsdetails für widerrufene Schlüssel enthält. Bei einer aktiv-aktiv-Verteilung zeigt die Seite die Schlüssel für beide Tanium Server an, aber erst, nachdem Sie Vertrauen zwischen diesen genehmigen (siehe Tanium Server-Vertrauen verwalten). Sie können Schlüssel über ihren Fingerprint (Fingerabdruck), dabei handelt es sich um den Hash-Digest des Schlüssels, und über den Wert Server identifizieren. Der öffentliche Root-Key, den der Tanium Server für die TLS-Kommunikation mit dem Tanium Client 7.2 verwendet, enthält für Server den Wert legacy-root. Alle anderen Schlüssel dienen der TLS-Kommunikation mit Tanium Core Platform-Servern und mit dem Tanium Client 7.4 oder neuer.

Abbildung 3: Öffentliche Root-Keys von Tanium

Die Root-Key-Datenbank verschlüsseln

Als bewährtes Verfahren zur Verhinderung von unbefugtem Zugriff geben Sie ein Passwort ein, um die Root-Keys zu verschlüsseln, die der Tanium Server in der Datei pki.db speichert. Führen Sie bei einer aktiv-aktiv-Verteilung diese Aufgabe auf jedem Tanium Server aus.

Die Tanium Console zeigt die Werte der meisten Einstellungen an, die Sie konfigurieren. Aus Sicherheitsgründen zeigt die Konsole jedoch nicht das Verschlüsselungspasswort an, es sei denn, Sie decken es manuell auf: siehe Geschützte Tanium Server-Einstellungen anzeigen.

Verschlüsselungspasswort festlegen

Verschlüsseln Sie die Root-Keys durch Hinzufügen der Einstellung PKIDatabasePassword:

Gehen Sie im Hauptmenü zu Administration > Management > Local Settings (Lokale Einstellungen) und klicken Sie auf New Setting (Neue Einstellung).
Geben Sie für Setting Name (Name der Einstellung) den Wert PKIDatabasePassword ein.
Geben Sie für Setting Value (Wert der Einstellung) ein Passwort ein.
Legen Sie den Value Type (Werttyp) auf protected (geschützt) fest und klicken Sie auf Save (Speichern).

Speichern Sie das Passwort an einem sicheren Ort.

Verschlüsselungspasswort ändern

Nachdem Sie die Einstellung PKIDatabasePassword hinzugefügt haben, können Sie das Passwort wie folgt ändern:

Gehen Sie im Hauptmenü zu Administration > Management > Local Settings (Lokale Einstellungen).
Wählen Sie die Einstellung PKIDatabasePassword aus.
Klicken Sie auf Edit (Bearbeiten), geben Sie das neue Passwort im Feld Setting Value (Wert der Einstellung) ein und klicken Sie auf Save (Speichern).

Sicherungskopie der Root-Keys erstellen

Als bewährtes Verfahren beim Rotieren der Root-Keys sollten Sie zuerst eine Sicherungskopie der Datei pki.db erstellen, die die Root-Keys enthält, zusammen mit dem zugehörigen Passwort, falls Sie die Datei verschlüsselt haben. Sie können die Sicherungskopie im Falle eines Fehlers im Tanium Server verwenden. Kopieren Sie die Datei pki.db aus dem Ordner <Tanium_Server>/backups auf den Host, auf dem Sie Sicherungskopien speichern, und bewahren Sie das Passwort an einem sicheren Ort auf. Führen Sie bei einer aktiv-aktiv-Verteilung diese Aufgabe auf jedem Tanium Server aus.

Wenn Sie die Sicherungskopie der Datei pki.db auf einem Tanium Server wiederherstellen, müssen Sie auch die zugehörigen Tanium-Datenbanken wiederherstellen, damit Tanium Clients eine Verbindung zu diesem Tanium Server herstellen können. Sichern Sie daher auch immer die Tanium-Datenbank, wenn Sie die Datei pki.db sichern.

Root-Keys generieren

Sie können bis zu zwei aktive Public-Private-Root-Key-Paare für jeden Tanium Server erstellen. Führen Sie bei einer aktiv-aktiv-Verteilung diese Aufgabe auf jedem Tanium Server aus.

Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Root Key Management (Verwaltung des Root-Keys).
Klicken Sie auf Create Key (Schlüssel erstellen) neben dem Namen des Tanium Servers, der ein neues Public-Private-Root-Key-Paar benötigt. Die Seite Root Key Management (Root-Key-Verwaltung) zeigt die Details des öffentlichen Root-Keys in einer neuen Kachel an.

Root-Keys widerrufen

Um Kommunikationsunterbrechungen zwischen Komponenten der Tanium Core Platform zu verhindern, können Sie ein Root-Key-Paar nicht widerrufen, bevor Sie ein neues Schlüsselpaar erstellt haben, um es zu ersetzen. Lesen Sie den Arbeitsablauf zur Schlüsselrotation, bevor Sie das alte Root-Key-Paar widerrufen. Sie müssen Schlüssel auf beiden Tanium-Servern in einer aktiv-aktiv Verteilung widerrufen. Widerrufen Sie die Schlüssel wie folgt:

(Nur aktiv-aktiv-Verteilung) Wenn der Tanium Server, für den Sie die Schlüssel widerrufen, nur über ein aktives Root-Key-Paar verfügt, müssen Sie das Vertrauen für diesen Server widerrufen, bevor Sie seine Schlüssel widerrufen: siehe Vertrauen zwischen Tanium Servern widerrufen.
Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Root Key Management (Verwaltung des Root-Keys).
Klicken Sie im Bereich Active Root Keys (Aktive Root-Keys) in der Kachel des öffentlichen Schlüssels auf Revoke (Widerrufen) und bestätigen Sie die Operation, wenn Sie dazu aufgefordert werden.

Infrastruktur-Konfigurationsdateien (Schlüssel) herunterladen

Der Zoneserver, Zoneserver-Hub und Tanium Clients müssen den Tanium Server authentifizieren, um eine Kommunikation mit ihm zu ermöglichen. Version 7.4 der Server und Clients verwenden zur Authentifizierung Schlüssel (einschließlich des öffentlichen Root-Keys), die sich innerhalb des Initialisierungspakets (tanium-init.dat) befinden. Tanium Clients 7.2 oder höher verwenden nur den öffentlichen Root-Key (tanium.pub) zur Authentifizierung. Nachdem Sie die Initialisierungsdatei oder die öffentliche Schlüsseldatei vom Tanium Server herunterladen, können Sie die Datei an die Tanium Clients, den Zoneserver und den Zoneserver-Hub verteilen.

Achten Sie darauf, dass die Datei tanium-init.dat oder tanium.pub nicht außerhalb Ihrer Organisation verteilt oder gespeichert werden darf, wie z. B. in einem öffentlich zugänglichen Quellcode-Repositorium oder an einem anderen Ort, der aus dem öffentlichen Internet zugänglich ist. Beschränken Sie die Verteilung auf die spezifische Verwendung bei der Verteilung von Tanium Clients.

Obwohl diese Dateien keine privaten Schlüssel enthalten und nicht zur Kontrolle über eine Tanium-Umgebung verwendet werden können, könnte ein Benutzer mit böswilliger Absicht sie verwenden, um einen nicht genehmigten Client zu verbinden und diesen unbefugten Zugriff zu verwenden, um zu erfahren, wie Ihre Organisation Tanium verwendet.

Für Version 7.4 oder höher der Server und Clients ist tanium-init.dat für Neuinstallationen erforderlich. Wenn Sie eine Aktualisierung durchgeführt haben und beabsichtigen, weitere Clients der Version 7.2 einzusetzen, verwenden Sie tanium.pub. Wenn Sie eine Aktualisierung durchgeführt haben und beabsichtigen, neue Clients der Version 7.4 einzusetzen, ist die Verwendung von tanium-init.dat die Best Practice.

(Nur aktiv-aktiv-Verteilung) Aktivieren Sie Vertrauen zwischen den Tanium-Servern in einer aktiv-aktiv-Verteilung, wenn Sie dies noch nicht getan haben. Nach der Etablierung des Vertrauens tauschen die Server die notwendigen Schlüssel aus, sodass die Datei tanium-init.dat auf jedem Server den öffentlichen Schlüssel beider Server enthält. Einzelheiten finden Sie unter Tanium Server-Vertrauen verwalten.
(Nur Tanium Client 7.2) Aktivieren Sie das Tanium-Protokoll, das Tanium Client 7.2 zur Authentifizierung verwendet:
1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
2. Wählen Sie enable_protocol_314_flag und klicken Sie auf Edit (Bearbeiten).
3. Setzen Sie den Setting Value (Einstellungswert) auf 1 und klicken Sie auf Save (Speichern).
Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Infrastructure Configuration Files (Infrastruktur-Konfigurationsdateien).
Klicken Sie auf Download (Herunterladen) im Abschnittt Clients v7.4+ and Zone Server (Clients v7.4+ und Zoneserver) oder Clients v7.2, abhängig davon, welche Datei Sie benötigen.
Ändern Sie optional den Standard-Dateinamen, und klicken Sie dann auf OK.
Die Datei erscheint im Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Um die Datei tanium-init.dat oder tanium.pub zu verteilen, siehe das entsprechende Benutzerhandbuch:

Tanium Clients: Siehe Benutzerhandbuch für Tanium Client Management.
Zoneserver und Hub Gehen Sie zu https://docs.tanium.com und suchen Sie unter Tanium Core Platform Servers (Tanium Core Platform-Server) nach dem Leitfaden für Ihre Bereitstellung. Führen Sie die Aufgaben zum Installieren oder Aktualisieren des Zoneservers und Hubs aus.

Rotation für untergeordnete Schlüssel konfigurieren

Die Komponenten der Tanium Core Platform generieren automatisch neue untergeordnete Schlüsselpaare, wenn es an der Zeit ist, diese zu rotieren. So verlängern beispielsweise Tanium Clients standardmäßig ihre TLS-Schlüssel vier Stunden (das Erneuerungszeitfenster) vor dem Ende jedes Sieben-Tage-Gültigkeitszeitraums (Ablaufintervall). Die Erneuerungszeitfenster stellen sicher, dass Komponenten ausreichend Zeit haben, um das Vertrauen in die Tanium-Umgebung neu herzustellen, bevor die aktuellen Schlüssel ablaufen. Konfigurieren Sie die Gültigkeitszeiträume und Erneuerungszeitfenster gemäß den Richtlinien Ihrer Organisation. Wenn Ihre Organisation über keine solche Richtlinie verfügt, ist es ein bewährtes Verfahren, die Standard-Zeitfenster und Standard-Gültigkeitszeiträume zu verwenden. Führen Sie für jeden Typ von untergeordnetem Schlüsselpaar die folgenden Schritte aus:

Gehen Sie im Hauptmenü zu Administration (Verwaltung) > Management > Global Settings (Globale Einstellungen), und wählen Sie die Einstellung im Raster aus (siehe Tabelle 1).
Klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellung) auf Edit (Bearbeiten).
Geben Sie unter Setting Value (Wert der Einstellung) den entsprechenden Gültigkeitszeitraum oder das entsprechende Erneuerungszeitfenster ein.
Wählen Sie in der Dropdown-Liste Affects (Betrifft) basierend auf der folgenden Einstellung eine Option aus:
- PKIClientTLSKeyRenewalWindowHours: Wählen Sie client aus.
- Alle anderen Einstellungen: Wählen Sie server aus.
Klicken Sie auf Save (Speichern).

Tabelle 1: Einstellungen für die Schlüsselrotation
Einstellung	Richtlinien
pki_server_tls_key_duration_days	Der Gültigkeitszeitraum für das Schlüsselpaar, das der Tanium Server für die TLS-Kommunikation mit einem anderen Tanium Server (in einer aktiv–aktiv-Verteilung), dem Zonenserver-Hub oder mit Tanium Clients (in Verteilungen ohne Zonenserver) verwendet. Der Standardwert ist 60 Tage.
pki_server_tls_key_renewal_window_hours	Das Erneuerungszeitfenster für das Schlüsselpaar, das der Tanium Server für die TLS-Kommunikation mit einem anderen Tanium Server (in einer aktiv-aktiv-Verteilung), dem Zonenserver-Hub oder mit Tanium Clients (in Verteilungen ohne Zonenserver) verwendet. Der Standardwert ist 4 Stunden.
pki_message_signing_key_duration_days	Der Gültigkeitszeitraum für das Schlüsselpaar, das der Tanium Server verwendet, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Standardwert ist 180 Tage.
pki_message_signing_key_renewal_window_hours	Das Erneuerungszeitfenster für das Schlüsselpaar, das der Tanium Server verwendet, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Standardwert ist 4 Stunden.
pki_hub_tls_key_duration_days	Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver-Hub für die TLS-Kommunikation mit dem Tanium Server und Zoneserver verwendet. Der Standardwert ist 60 Tage.
pki_hub_tls_key_renewal_window_hours	Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver-Hub für die TLS-Kommunikation mit dem Tanium Server und Zoneserver verwendet. Der Standardwert ist 4 Stunden.
pki_zoneserver_tls_key_duration_days	Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver für die TLS-Kommunikation mit dem Zoneserver-Hub und Tanium Clients verwendet. Der Standardwert ist 60 Tage.
pki_zoneserver_tls_key_renewal_window_hours	Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver für die TLS-Kommunikation mit dem Zoneserver-Hub und Tanium Clients verwendet. Der Standardwert ist 4 Stunden.
pki_client_tls_ca_key_duration_days	Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwendet, um digitale Signaturen für Tanium Clients bereitzustellen, wenn sie neue TLS-Schlüsselpaare generieren. Der Standardwert ist 180 Tage.
pki_client_tls_ca_key_renewal_window_hours	Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwendet, um digitale Signaturen für Tanium Clients bereitzustellen, wenn sie neue TLS-Schlüsselpaare generieren. Der Standardwert ist 168 Stunden (7 Tage).
pki_client_tls_key_duration_days	Der Gültigkeitszeitraum für die Schlüsselpaare, die Tanium Clients für die TLS-Kommunikation miteinander und mit dem Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwenden. Der Standardwert ist 7 Tage.
PKIClientTLSKeyRenewalWindowHours	Das Erneuerungszeitfenster für die Schlüsselpaare, die Tanium Clients für die TLS-Kommunikation miteinander und mit dem Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwenden. Der Standardwert ist 4 Stunden.