Verwalten von Tanium-Schlüsseln

Übersicht über Tanium-Schlüssel

TLS-Kommunikation

Transport Layer Security (TLS) ist ein kryptographisches Protokoll, das mithilfe digitaler Schlüssel Authentifizierung, Datenschutz und Datenintegrität zwischen Client-Server-Anwendungen bereitstellt, die über ein Netzwerk kommunizieren. Die Tanium Core Platform unterstützt TLS 1.2 für die folgenden Netzwerkverbindungen (die grünen Linien in Abbildung 1):

  • Tanium Client an Tanium Server
  • Tanium Client an Zoneserver
  • Tanium Client zu Tanium Client (nur Version 7.4 oder neuer)
  • Tanium Server zu Tanium Server bei einer HA (high availability, Hochverfügbarkeit)-Bereitstellung
  • Tanium Server an Zoneserver-Hub an Zoneserver
Abbildung 1:  TLS-Kommunikation in der Tanium Core Platform

Wenn Sie die Tanium Core Platform 7.4 oder neuer installieren oder auf diese aktualisieren, ist TLS standardmäßig auf den Plattformservern (Sie können es nicht deaktivieren) und auf Tanium Clients aktiviert. Einzelheiten zu TLS und die Schritte zum Aktivieren oder Deaktivieren von TLS auf den Clients oder auf Servern, die die Version 7.3 oder älter ausführen, finden Sie unter Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Einrichten der TLS-Kommunikation.

Tanium-Schlüssel gelten nur für die Kommunikation zwischen Komponenten der Tanium Core Platform. Die Public-Key-Infrastruktur (PKI) Ihres Unternehmens regelt die Sicherheit der Nicht-Tanium-Kommunikation zwischen den Endpunkten in Ihrem Netzwerk, unabhängig davon, ob auf ihnen Tanium Clients installiert sind.

Sie benötigen die reservierte Administratorrolle, um Tanium-Schlüssel zu verwalten.

Um die Schlüssel zu verwalten, die Verbindungen mit dem Hypertext Transfer Protocol Secure (HTTPS) von Benutzersystemen zur Tanium Console oder API und zwischen dem Tanium Server und Modulserver absichern, siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Zugriff auf Tanium Console, API und Modulserver absichern.

Einzelheiten zum Schlüssel, der verwendet wird, um Inhaltsdateien zu authentifizieren, die Sie in den Tanium Server importieren, finden Sie unter Authentifizieren von Inhaltsdateien.

Die Tanium Core Platform unterstützt TLS für zusätzliche Verbindungen, die verschiedene Tanium-Module und geteilte Dienste benötigen. Einzelheiten hierzu finden Sie im Benutzerhandbuch für Ihre Tanium-Produkte unter https://docs.tanium.com.

Root-Keys

Wenn Sie den Tanium Server installieren, generiert er automatisch ein Public-Private-Root-Key-Paar. Diese Root-Keys befinden sich ganz oben in der Tanium-Schlüsselinfrastruktur und sind für alle untergeordneten Schlüssel erforderlich, um Verbindungen zwischen Komponenten der Tanium Core Platform abzusichern. Sie können den öffentlichen Root-Key während der Installation oder Aktualisierung an den Zoneserver, Zoneserver-Hub oder die Tanium Clients verteilen, sodass diese Komponenten ihre Kommunikation mit dem Tanium Server absichern können.

Der Tanium Server verwendet separate Root-Key-Paare für die TLS-Kommunikation mit Tanium Clients, die auf ihrer Version basieren. Direkt nach einer Neuinstallation oder Aktualisierung verwendet der Tanium Client 7.4 oder älter den öffentlichen Root-Key, dessen Wert für Server auf <Tanium Server FQDN> Root 0 lautet (siehe Abbildung 3). Jeder neue öffentliche Root-Key, den Sie für Version 7.4 oder älter erstellen, verfügt über einen einzigartigen Wert für Server (<Tanium Server FQDN> Root <#>). Der öffentliche Root-Key für Tanium Client 7.2 enthält für Server den Wert legacy-root. Sie können keine neuen Schlüssel für Version 7.2 erstellen.

Untergeordnete Schlüssel

Der Tanium Server, Zoneserver, Zoneserver-Hub und Tanium Clients generieren untergeordnete Schlüssel lokal und fordern eine digitale Signatur für jedes Schlüsselpaar an. Die Signaturen sind für die TLS-Kommunikation erforderlich. Die Tanium Core Platform verwendet die folgenden untergeordneten Schlüssel, wie in Abbildung 2 gezeigt:

  • TLS-Schlüssel: Jeder Tanium Core Platform-Server und Tanium Client verwendet TLS-Schlüssel, um die TLS-Kommunikation mit anderen Servern und Clients zu ermöglichen. Der Tanium Server verwendet den privaten Root-Key, um Signaturen für die Server-TLS-Schlüssel zu generieren.
  • Schlüssel für die Nachrichtensignierung: Der Tanium Server verwendet diese Schlüssel, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Tanium Server verwendet den privaten Root-Key, um eine Signatur für die Schlüssel für die Nachrichtensignierung zu generieren.
  • TLS-Zwischenschlüssel: Ein privater TLS -Zwischenschlüssel wird verwendet, um Signaturen für die TLS-Schlüssel von Tanium Clients zu generieren. Das TLS -Zwischenschlüsselpaar befindet sich auf dem Zoneserver in Bereitstellungen, die über diesen verfügen (wie in Abbildung 2 gezeigt), und andernfalls auf dem Tanium Server. Der Server gibt sowohl die Signatur als auch den öffentlichen TLS-Zwischenschlüssel an jeden Client zurück, um die TLS -Kommunikation zu ermöglichen. Die Verwendung von TLS-Zwischenschlüsseln anstelle der Root-Keys für diese Funktion macht die Client-Registrierung schneller und weniger CPU-intensiv. Zur Sicherheit können Sie die Zwischenschlüssel unabhängig von den Root-Keys rotieren.
Abbildung 2:  Tanium-Schlüssel

Eine Kopie des öffentlichen Root-Keys befindet sich im Installationsverzeichnis des Zoneserver-Hubs, unabhängig davon, ob der Hub auf dem gleichen Host wie der Tanium Server (wie in Abbildung 2 gezeigt) oder auf einem dedizierten Host installiert ist.

Um die Kommunikation zwischen den Servern der Tanium Core Platform zu ermöglichen, müssen Sie auch das Vertrauen aktivieren. Einzelheiten hierzu finden Sie unter Tanium Server-Vertrauen verwalten und Zoneserver und Hubs verwalten.

Schlüsselrotation

Obwohl Root-Keys niemals ablaufen, können Sie sie rotieren, was bedeutet, dass neue Schlüssel generiert und die alten Schlüssel widerrufen werden. Das Rotieren von Schlüsseln ist nützlich, wenn Ihre Organisation über eine Richtlinie für die regelmäßige Schlüsselrotation verfügt oder die Sicherheit der aktiven Schlüssel angezweifelt wird. Wenn Ihre Organisation keine Schlüsselrotationsrichtlinie anwendet, ist das bewährte Verfahren, die Root-Keys mindestens einmal pro Jahr zu rotieren, aber nicht mehr als einmal alle sechs Monate. Wenn die Sicherheit der aktiven Root-Keys angezweifelt wird, sollten Sie diese sofort rotieren.

Sie können die Root-Keys für Tanium Client 7.2 nicht rotieren. Die Tanium Console identifiziert die 7.2-Root-Keys über den Server-Wert legacy-root (siehe Abbildung 3).

Um die Sicherheit von privaten Root-Keys sicherzustellen, zeigt die Tanium Console nur öffentliche Root-Keys an. Wenn Sie jedoch einen öffentlichen Schlüssel generieren oder widerrufen, erzeugt der Tanium Server automatisch den privaten Schlüssel und widerruft ihn. Wenn Sie die Root-Keys rotieren, rotiert die Tanium Core Platform automatisch alle untergeordneten Schlüssel. Unabhängig davon, ob Sie die Root-Keys rotieren, werden die untergeordneten Schlüssel automatisch in konfigurierbaren Intervallen rotiert.

Die folgenden Schritte fassen den Arbeitsablauf für das Rotieren von Schlüsseln zusammen:

  1. (Optionales bewährtes Verfahren) Verschlüsseln Sie auf jedem Tanium Server die Datei pki.db, die die Root-Keys, Tanium Server-TLS-Schlüssel und Schlüssel für die Nachrichtensignierung enthält. Dies ist eine einmalige Aufgabe, die Sie durchführen, um unbefugte Zugriffe auf die Schlüssel zu verhindern. Siehe Die Root-Key-Datenbank verschlüsseln.
  2. (Optionales bewährtes Verfahren) Erstellen Sie eine Sicherheitskopie der Datei pki.db, die sich auf jedem Tanium Server befindet, falls auf den Servern später ein nicht behebbarer Fehler auftritt. Tun Sie dies immer, wenn Sie die Root-Keys rotieren. Siehe Sicherungskopie der Root-Keys erstellen.
  3. Wenn Ihre Organisation über eine Schlüsselrotationsrichtlinie verfügt, konfigurieren Sie die automatische Rotation für untergeordnete Schlüssel gemäß dieser Richtlinie. Dies ist eine einmalige Aufgabe, es sei denn, Ihre Richtlinie ändert sich. Siehe Automatische Rotation für untergeordnete Schlüssel konfigurieren.
  4. Generieren Sie einen neuen öffentlichen Root-Key. Der Tanium Server generiert automatisch einen neuen entsprechenden privaten Schlüssel und löst die Erstellung neuer untergeordneter Schlüssel aus. Siehe Root-Keys generieren.

    Warten Sie als bewährtes Verfahren eine Woche, bevor Sie die alten Root-Keys widerrufen, um sicherzustellen, dass der Prozess der Erstellung neuer Schlüssel für alle Komponenten der Tanium Core Platform abgeschlossen wurde. Wenn Sie die Schlüssel widerrufen, benötigen alle Komponenten, die diesen Prozess noch nicht abgeschlossen haben, mehr Berechnungsressourcen und Netzwerkverkehr, um neue Schlüssel zu generieren. Wenn jedoch die Sicherheit der Root-Keys in Zweifel steht, sollten Sie die alten Schlüssel sofort nach dem Generieren der neuen Schlüssel widerrufen.

  5. Widerrufen Sie den alten öffentlichen Root-Key. Der Tanium Server widerruft automatisch den zugehörigen privaten Schlüssel und überträgt die Widerrufsanweisung für die alten Root-Keys und untergeordneten Schlüssel zu allen Komponenten der Tanium Core Platform. Einzelheiten finden Sie unter Root-Keys widerrufen.

Root-Key-Informationen anzeigen

Die Seite Configuration (Konfiguration) > Tanium Server > Root Key Management (Root-Key-Verwaltung) enthält eine Kachel für jeden aktiven öffentlichen Root-Key und ein Raster, das Widerrufsdetails für widerrufene Schlüssel enthält. Bei einer HA-Bereitstellung zeigt die Seite die Schlüssel für beide Tanium Server an, aber erst, nachdem Sie Vertrauen zwischen diesen genehmigen (siehe Tanium Server-Vertrauen verwalten). Sie können Schlüssel über ihren Fingerprint (Fingerabdruck), dabei handelt es sich um den Hash-Digest des Schlüssels, und über den Wert Server identifizieren. Der öffentliche Root-Key, den der Tanium Server für die TLS-Kommunikation mit dem Tanium Client 7.2 verwendet, enthält für Server den Wert legacy-root. Alle anderen Schlüssel dienen der TLS-Kommunikation mit Tanium Core Platform-Servern und mit dem Tanium Client 7.4 oder neuer.

Abbildung 3:  Öffentliche Root-Keys von Tanium

Die Root-Key-Datenbank verschlüsseln

Als bewährtes Verfahren zur Verhinderung von unbefugtem Zugriff geben Sie ein Passwort ein, um die Root-Keys zu verschlüsseln, die der Tanium Server in der Datei pki.db speichert. Führen Sie bei einer HA-Bereitstellung diese Aufgabe auf jedem Tanium Server aus.

Die Tanium Console zeigt die Werte der meisten Einstellungen an, die Sie konfigurieren. Aus Sicherheitsgründen zeigt die Konsole jedoch nicht das Verschlüsselungspasswort an, es sei denn, Sie decken es manuell auf: siehe Geschützte Tanium Server-Einstellungen anzeigen.

Verschlüsselungspasswort festlegen

Verschlüsseln Sie die Root-Keys durch Hinzufügen der Einstellung PKIDatabasePassword:

  1. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Local Settings (Lokale Einstellungen), und klicken Sie auf New Setting (Neue Einstellung).
  2. Geben Sie für Setting Name (Name der Einstellung) den Wert PKIDatabasePassword ein.
  3. Geben Sie für Setting Value (Wert der Einstellung) ein Passwort ein.
  4. Stellen Sie den Value Type (Werttyp) auf protected (geschützt).
  5. Klicken Sie auf Save (Speichern) und bestätigen Sie die Operation, wenn Sie dazu aufgefordert werden.

Als bewährtes Verfahren bewahren Sie das Passwort an einem sicheren Ort auf.

Verschlüsselungspasswort ändern

Nachdem Sie die Einstellung PKIDatabasePassword hinzugefügt haben, können Sie das Passwort wie folgt ändern:

  1. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Local Settings (Lokale Einstellungen).
  2. Wählen Sie die Einstellung PKIDatabasePassword aus.
  3. Klicken Sie auf Edit (Bearbeiten), und geben Sie das neue Passwort im Feld Setting Value (Wert der Einstellung) ein.
  4. Klicken Sie auf Save (Speichern) und bestätigen Sie die Operation, wenn Sie dazu aufgefordert werden.

Sicherungskopie der Root-Keys erstellen

Als bewährtes Verfahren beim Rotieren der Root-Keys sollten Sie zuerst eine Sicherungskopie der Datei pki.db erstellen, die die Root-Keys enthält, zusammen mit dem zugehörigen Passwort, falls Sie die Datei verschlüsselt haben. Sie können die Sicherungskopie im Falle eines Fehlers im Tanium Server verwenden. Kopieren Sie die Datei pki.db aus dem Ordner <Tanium_Server>/backups auf den Host, auf dem Sie Sicherungskopien speichern, und bewahren Sie das Passwort an einem sicheren Ort auf. Führen Sie bei einer HA -Bereitstellung diese Aufgabe für jeden Tanium Server aus.

Wenn Sie die Sicherungskopie der Datei pki.db auf einem Tanium Server wiederherstellen, müssen Sie auch die zugehörigen Tanium-Datenbanken wiederherstellen, damit Tanium Clients eine Verbindung zu diesem Tanium Server herstellen können. Sichern Sie daher auch immer die Tanium-Datenbank, wenn Sie die Datei pki.db sichern.

Root-Keys generieren

Sie können bis zu zwei aktive Public-Private-Root-Key-Paare für jeden Tanium Server erstellen. Führen Sie bei einer HA -Bereitstellung diese Aufgabe auf jedem Tanium Server aus.

  1. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Root Key Management (Root-Key-Verwaltung).
  2. Klicken Sie auf Create Key (Schlüssel erstellen) neben dem Namen des Tanium Servers, der ein neues Public-Private-Root-Key-Paar benötigt. Die Seite Root Key Management (Root-Key-Verwaltung) zeigt die Details des öffentlichen Root-Keys in einer neuen Kachel an.

Root-Keys widerrufen

Um Kommunikationsunterbrechungen zwischen Komponenten der Tanium Core Platform zu verhindern, können Sie ein Root-Key-Paar nicht widerrufen, bevor Sie ein neues Schlüsselpaar erstellt haben, um es zu ersetzen. Lesen Sie den Arbeitsablauf zur Schlüsselrotation, bevor Sie das alte Root-Key-Paar widerrufen. Sie müssen Schlüssel auf beiden Tanium Servern in einer HA -Bereitstellung widerrufen. Widerrufen Sie die Schlüssel wie folgt:

  1. (Nur HA-Bereitstellungen) Wenn der Tanium Server, für den Sie die Schlüssel widerrufen, nur über ein aktives Root-Key-Paar verfügt, müssen Sie das Vertrauen für diesen Server widerrufen, bevor Sie seine Schlüssel widerrufen: siehe Vertrauen widerrufen.
  2. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Root Key Management (Root-Key-Verwaltung).
  3. Klicken Sie im Bereich Active Root Keys (Aktive Root-Keys) in der Kachel des öffentlichen Schlüssels auf Revoke (Widerrufen) und bestätigen Sie die Operation, wenn Sie dazu aufgefordert werden.

Infrastruktur-Konfigurationsdateien (Schlüssel) herunterladen

Der Zoneserver, Zoneserver-Hub und Tanium Clients müssen den Tanium Server authentifizieren, um eine Kommunikation mit ihm zu ermöglichen. Version 7.4 der Server und Clients verwenden zur Authentifizierung Schlüssel (einschließlich des öffentlichen Root-Keys),  die sich innerhalb des Initialisierungspakets (tanium-init.dat) befinden. Tanium Clients 7.2 oder älter verwenden nur den öffentlichen Root-Key (tanium.pub) zur Authentifizierung. Nachdem Sie die Initialisierungsdatei oder die öffentliche Schlüsseldatei vom Tanium Server herunterladen, können Sie die Datei an die Tanium Clients, den Zoneserver und den Zoneserver-Hub verteilen.

Für Version 7.4 oder neuer der Server und Clients ist das Initialisierungspaket für Neuinstallationen erforderlich. Wenn Sie eine Aktualisierung durchgeführt haben und beabsichtigen, weitere Clients der Version 7.2 einzusetzen, verwenden Sie den öffentlichen Schlüssel. Wenn Sie eine Aktualisierung durchgeführt haben und beabsichtigen, neue Clients der Version 7.4 einzusetzen, ist das bewährte Verfahren die Verwendung des Initialisierungspakets.

  1. (Nur HA-Bereitstellungen) Aktivieren Sie das Vertrauen zwischen den Tanium Servern in einer HA -Bereitstellung, falls nicht bereits geschehen. Nach der Etablierung des Vertrauens tauschen die Server die notwendigen Schlüssel aus, sodass die Datei tanium-init.dat auf jedem Server den öffentlichen Schlüssel beider Server enthält. Einzelheiten finden Sie unter Tanium Server-Vertrauen verwalten.
  2. Gehen Sie zu Configuration (Konfiguration) > Tanium Server > Infrastructure Configuration Files (Infrastruktur-Konfigurationsdateien).
  3. Klicken Sie auf Download (Herunterladen) im Abschnittt Clients v7.4+ and Zone Server (Clients v7.4+ und Zoneserver) oder Clients v7.2 and v6.x (Clients v7.2 und v6.x), abhängig davon, welche Datei Sie benötigen.
  4. Ändern Sie optional den Standard-Dateinamen, und klicken Sie dann auf OK. Die Datei erscheint im Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Um die Datei tanium-init.dat oder tanium.pub zu verteilen, siehe das entsprechende Benutzerhandbuch:

Automatische Rotation für untergeordnete Schlüssel konfigurieren

Die Komponenten der Tanium Core Platform generieren automatisch neue untergeordnete Schlüsselpaare, wenn es an der Zeit ist, diese zu rotieren. So verlängern beispielsweise Tanium Clients standardmäßig ihre TLS-Schlüssel vier Stunden (das Erneuerungszeitfenster) vor dem Ende jedes Sieben-Tage-Gültigkeitszeitraums (Ablaufintervall). Die Erneuerungszeitfenster stellen sicher, dass Komponenten ausreichend Zeit haben, um das Vertrauen in die Tanium-Umgebung neu herzustellen, bevor die aktuellen Schlüssel ablaufen. Konfigurieren Sie die Gültigkeitszeiträume und Erneuerungszeitfenster gemäß den Richtlinien Ihrer Organisation. Wenn Ihre Organisation über keine solche Richtlinie verfügt, ist es ein bewährtes Verfahren, die Standard-Zeitfenster und Standard-Gültigkeitszeiträume zu verwenden. Führen Sie für jeden Typ von untergeordnetem Schlüsselpaar die folgenden Schritte aus:

  1. Gehen Sie zu Administration (Verwaltung) > Global Settings (Globale Einstellungen), und wählen Sie die Einstellung im Raster aus (siehe Tabelle 1).
  2. Klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellung) auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) den entsprechenden Gültigkeitszeitraum oder das entsprechende Erneuerungszeitfenster ein.
  4. Wählen Sie in der Dropdown-Liste Affects (Betrifft) basierend auf der folgenden Einstellung eine Option aus:
    • PKIClientTLSKeyRenewalWindowHours: Wählen Sie client aus.
    • Alle anderen Einstellungen: Wählen Sie server aus.
  5. Klicken Sie auf Save (Speichern).
Tabelle 1:   Einstellungen für die Schlüsselrotation
Einstellung Richtlinien
pki_server_tls_key_duration_days Der Gültigkeitszeitraum für das Schlüsselpaar, das der Tanium Server für die TLS-Kommunikation mit einem anderen Tanium Server (in einer HA -Bereitstellung), dem Zoneserver-Hub oder mit Tanium Clients (in Bereitstellungen ohne Zoneserver) verwendet. Der Standardwert ist 7 Tage.
pki_server_tls_key_renewal_window_hours Das Erneuerungszeitfenster für das Schlüsselpaar, das der Tanium Server für die TLS-Kommunikation mit einem anderen Tanium Server (in einer HA -Bereitstellung), dem Zoneserver-Hub oder mit Tanium Clients (in Bereitstellungen ohne Zoneserver) verwendet. Der Standardwert ist 4 Stunden.
pki_message_signing_key_duration_days Der Gültigkeitszeitraum für das Schlüsselpaar, das der Tanium Server verwendet, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Standardwert ist 180 Tage.
pki_message_signing_key_renewal_window_hours Das Erneuerungszeitfenster für das Schlüsselpaar, das der Tanium Server verwendet, um Nachrichten (z. B. für Aktionspakete) zu signieren, die er an Tanium Clients sendet. Der Standardwert ist 4 Stunden.
pki_hub_tls_key_duration_days Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver-Hub für die TLS-Kommunikation mit dem Tanium Server und Zoneserver verwendet. Der Standardwert ist 60 Tage.
pki_hub_tls_key_renewal_window_hours Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver-Hub für die TLS-Kommunikation mit dem Tanium Server und Zoneserver verwendet. Der Standardwert ist 4 Stunden.
pki_zoneserver_tls_key_duration_days Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver für die TLS-Kommunikation mit dem Zoneserver-Hub und Tanium Clients verwendet. Der Standardwert ist 60 Tage.
pki_zoneserver_tls_key_renewal_window_hours Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver für die TLS-Kommunikation mit dem Zoneserver-Hub und Tanium Clients verwendet. Der Standardwert ist 4 Stunden.
pki_client_tls_ca_key_duration_days Der Gültigkeitszeitraum für das Schlüsselpaar, das der Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwendet, um digitale Signaturen für Tanium Clients bereitzustellen, wenn sie neue TLS-Schlüsselpaare generieren. Der Standardwert ist 180 Tage.
pki_client_tls_ca_key_renewal_window_hours Das Erneuerungszeitfenster für das Schlüsselpaar, das der Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwendet, um digitale Signaturen für Tanium Clients bereitzustellen, wenn sie neue TLS-Schlüsselpaare generieren. Der Standardwert ist 168 Stunden (7 Tage).
pki_client_tls_key_duration_days Der Gültigkeitszeitraum für die Schlüsselpaare, die Tanium Clients für die TLS-Kommunikation miteinander und mit dem Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwenden. Der Standardwert ist 7 Tage.
PKIClientTLSKeyRenewalWindowHours Das Erneuerungszeitfenster für die Schlüsselpaare, die Tanium Clients für die TLS-Kommunikation miteinander und mit dem Zoneserver oder Tanium Server (bei Bereitstellungen ohne Zoneserver) verwenden. Der Standardwert ist 4 Stunden.