Gestion des clés Tanium

Cloud Tanium gère automatiquement les certificats et clés numériques qui sécurisent les connexions entre les différents composants de Tanium Core Platform. Les sections suivantes fournissent un aperçu des clés qui sont utilisées pour la communication TLS (Transport Layer Security) entre les composants.

Les clés Tanium sécurisent uniquement le trafic Tanium. L’infrastructure de clés publiques pour votre entreprise régit la sécurité du trafic en dehors de Tanium sur les endpoints de votre réseau.

Présentation des clés Tanium

Communication TLS

Le protocole Tanium™ utilise TLSTransport Layer Security (TLS) 1.2 pour chiffrer la communication entre les Tanium Clients et Cloud Tanium () et entre les Tanium Clients au sein d’une chaîne linéaire () parmi les composants suivants de la plateforme, comme illustré dans la Figure 1 Figure 1 :

	Tanium Server au Tanium Server dans un déploiement actif/actif Pour certaines communications entre des serveurs actifs/actifs, tels que le trafic de base de données Tanium et le trafic de synchronisation LDAP (Lightweight Directory Access Protocol), les appliances Tanium utilisent IPsec au lieu du protocole Tanium.
	Tanium Servers au hub Zone Server La Figure 1 montre le hub Zone Server installé sur un hôte qui est séparé des hôtes du Tanium Server pour illustrer que la connexion est chiffrée. Toutefois, dans la plupart des déploiements Windows et dans tous les déploiements d’appliances, vous pouvez installer le hub sur le(s) même(s) hôte(s) que les Tanium Servers.
	Hub Zone Server au Zone Server
	Tanium Clients (externes) au Zone Server
	Tanium Clients (internes) aux Tanium Servers
	Tanium Client à Tanium Client (externe et interne) Seul le Tanium Client 7.4 ou version ultérieure utilise le TLS pour chiffrer le trafic peer.

Figure 1 : Communication du protocole Tanium

Lorsque vous installez ou mettez à niveau vers Tanium Core Platform 7.4 ou une version ultérieure, le TLS est activé par défaut pour la communication entre les composants de la plateforme. Pour plus de détails sur le TLS, et les étapes pour l’activer ou le désactiver, reportez-vous au Guide de référence de déploiement de Tanium Core Platform : Configuration de la communication TLS.

Outre la communication avec le protocole Tanium, la Tanium Core Platform utilise des clés et des certificats pour sécuriser les autres connexions et opérations :

Pour gérer les certificats et clés qui sécurisent les connexions à la plateforme via le protocole HTTPS (Hypertext Transfer Protocol Secure), reportez-vous au Guide de référence du déploiement de Tanium Core Platform : sécurisation de la Tanium Console, de l’API et de l’accès au serveur de module.
Pour en savoir plus sur les clés qui sont utilisées pour sécuriser les connexions entre Cloud Taniumles serveurs Tanium Core Platform et les sources distantes de contenu (comme les packages), reportez-vous à la section Gérez l’authentification des téléchargements.
Pour plus de détails sur les clés utilisées pour se connecter et authentifier les fichiers de contenu que vous importez vers le Tanium Server, reportez-vous à la section Authentification des fichiers de contenu.
Cloud Tanium La Tanium Core Platform prend en charge le protocole TLS pour les connexions que les divers Tanium Modules et services partagés requièrent. Pour obtenir plus de détails, reportez-vous aux guides d’utilisation de vos solutions Tanium sur le portail de documentation Tanium.

Vous avez besoin du rôle réservé Administrator (Administrateur) pour pouvoir gérer les clés Tanium.

Pour résoudre les problèmes liés aux clés et certificats de Tanium, reportez-vous à la section Résoudre les problèmes de certificat et de clé.

Clés Tanium

Tout en haut de l’infrastructure de clés Tanium se trouve une paire de clés racines publiques-privées qui est requise pour toutes les clés subalternes afin de sécuriser les connexions entre les composants de la Tanium Core Platform. Tanium fait tourner les clés racines et les clés subalternes à intervalles réguliers.

Clés racines

Lorsque vous installez le Tanium Server, il génère automatiquement une paire de clés racines publiques-privées. Ces clés racines se trouvent en haut de l’infrastructure de clés Tanium et sont requises pour toutes les clés subalternes afin de sécuriser les connexions entre les composants Tanium Core Platform. Vous déployez la clé publique racine sur le Zone Server, le hub de Zone Server et les clients Tanium pendant l’installation ou la mise à niveau afin que ces composants puissent sécuriser la communication avec le Tanium Server. Dans le cadre d’un déploiement actif/actif, chaque Tanium Server a sa propre paire de clés racines qu’il utilise pour sécuriser la communication avec son peer.

Le Tanium Server utilise des paires de clés racines distinctes pour la communication TLS avec les clients Tanium en fonction de leur version. Initialement après une installation ou une mise à niveau récente, Tanium Client 7.4 ou version ultérieure utilise la clé publique racine dont le nom est <Tanium Server FQDN> Root (Racine) 0 (reportez-vous à la Figure 3). Chaque nouvelle clé publique racine que vous créez pour la version 7.4 ou ultérieure a un nom unique au format <Tanium Server FQDN> Root (Racine) <#>. La clé publique racine pour Tanium Client 7.2 dispose du nom legacy-root (racine-existante). Vous ne pouvez pas créer de nouvelles clés pour la version 7.2.

Pour afficher des détails sur les clés racines, reportez-vous à la section Afficher les informations sur les clés racines.

Clés subalternes

Cloud Tanium Le Tanium Server, le Zone Server, le hub de Zone Servers et les Tanium Clients génèrent des clés subalternes localement et demandent une signature numérique pour chaque paire de clés. Cloud TaniumLe serveur qui répond utilise une clé privée pour générer les signatures et renvoie la clé publique associée ainsi que les signatures pour permettre la communication TLS entre les serveurs et les clients demandeurs. Tanium Core Platform utilise les touches subalternes suivantes, comme indiqué dans la Figure 2 :

Clés TLS : Cloud Tanium utilise des clés TLS pour permettre la communication TLS entre les composants de la plateforme, notamment entre les Tanium Clients. Chaque serveur de la Tanium Core Platform et chaque Tanium Client utilise des clés TLS pour permettre la communication TLS avec d’autres serveurs et clients. Le Tanium ServerCloud Tanium utilise la clé privée racine pour générer une signature pour la paire de clés TLSdes signatures pour les clés TLS du serveur ().
Clés de signature de messages : Cloud TaniumLe Tanium Server utilise cette paire de clés pour signer les messages (par exemple pour les packs d’actions) qu’il envoie aux Tanium Clients. Cloud TaniumLe Tanium Server utilise la clé privée racine pour générer une signature pour la paire de clés de signature de messages ().
Clés TLS intermédiaires : Cloud Tanium utilise une clé privée TLS intermédiaire pour générer des signatures pour les clés TLS des Tanium Clients (). Cloud Tanium renvoie la clé publique TLS intermédiaire ainsi que les signatures pour activer le protocole TLS pour les communications client.Le Tanium Server utilise une clé privée TLS intermédiaire pour générer des signatures pour les clés TLS des Tanium Clients internes qui rendent compte à ce serveur (). Chaque Zone Server dispose également d’une clé privée TLS intermédiaire pour générer des signatures pour les clés TLS des Tanium Clients externes qui rendent compte à ce serveur (). Les serveurs renvoient la clé publique TLS intermédiaire, ainsi que les signatures, pour activer le protocole TSL pour les communications client. Si vous utilisez des clés TLS intermédiaires au lieu des clés racines pour la génération de signatures, l’inscription du client sera plus rapide et moins gourmande en CPU. En termes de sécurité, vous pouvez faire pivoter les touches intermédiaires indépendamment des clés racines. Cloud TaniumLe Tanium Server utilise la clé privée racine pour générer une signature pour les paires de clés intermédiaires sur le Tanium Server et le Zone Server ().

Dans le cadre d’un déploiement actif/actif, chaque Tanium Server a sa propre paire de clés racines.

Figure 2 : Clés Tanium (cliquez sur l’image pour l’agrandir)

Une copie de la clé publique racine réside dans le répertoire d’installation du hub de Zone Server, que le hub soit installé sur le même hôte que le Tanium Server (comme illustré dans la Figure 2) ou sur un hôte dédié.

Pour permettre une communication entre les Tanium Servers Core Platform, vous devez également activer l’approbation. Pour plus de détails, reportez-vous aux sections Gestion de l’approbation des Tanium Servers et Gestion des Zone Servers et des hubs.

Clés tournantes

Bien que les clés racines n’expirent jamais, vous pouvez les faire tourner. En d’autres termes, vous pouvez générer de nouvelles clés et révoquer les anciennes. Les clés tournantes sont utiles si votre organisation dispose d’une politique pour la rotation périodique des clés ou si la sécurité des clés actives est compromise. Si la sécurité des clés racines actives est compromise, procédez à la rotation immédiatement.

Si votre organisation ne dispose pas d’une stratégie sur la rotation des clés, faites tourner les clés racines au moins une fois par an, mais pas plus d’une fois tous les six mois.

vous ne pouvez pas faire tourner les clés racines pour le client Tanium 7.2. Tanium Console identifie les clés racines 7.2 avec le nom legacy-root (racine-existante) (reportez-vous à la Figure 3).

Les Tanium Clients qui sont hors ligne lorsque vous faites tourner les clés acquièrent les nouvelles clés et reprennent les opérations normales dès leur mise en ligne, tant que ces clients ont été initialisés avec le fichier tanium-init.dat approprié. Pour obtenir plus de détails sur le fichier tanium-init.dat, reportez-vous à la section Télécharger les fichiers de configuration de l’infrastructure (clés).

Pour garantir la sécurité des clés privées racines, la Tanium Console expose uniquement les clés publiques racines. Cependant, lorsque vous générez ou révoquez une clé publique, le Tanium Server génère et révoque la clé privée automatiquement. De plus, lorsque vous faites tourner les clés racines, Tanium Core Platform fait tourner toutes les touches subalternes automatiquement. Que vous fassiez pivoter les clés racines ou pas, les clés subalternes tournent automatiquement à des intervalles configurables.

Les étapes suivantes récapitulent le workflow des clés tournantes :

(Meilleures pratiques facultatives) Sur chaque Tanium Server, chiffrez le fichier pki.db contenant les clés racines, les clés TLS du Tanium Server et les clés de signature de messages. Il s’agit d’une tâche unique à effectuer pour empêcher un accès non autorisé aux clés. Reportez-vous à la section Chiffrer la base de données des clés racines.
Si votre organisation dispose d’une stratégie de rotation des clés, configurez la rotation automatique des clés subalternes pour respecter cette politique. Il s’agit d’une tâche unique, à moins que votre politique ne change. Reportez-vous à la section Configurer la rotation des clés subordonnées.
Générez une nouvelle clé publique racine. Le Tanium Server génère automatiquement une nouvelle clé privée correspondante et déclenche la création de nouvelles clés subalternes. Reportez-vous à la section Générer des clés racines.
La meilleure pratique consiste à attendre une semaine avant de révoquer les anciennes clés racines pour garantir que la génération de nouvelles clés couvre tous les composants Tanium Core Platform. En cas de révocation, tous les composants qui n’ont pas terminé ce processus consomment plus de ressources de traitement et de trafic réseau pour générer de nouvelles clés. Cependant, si la sécurité des clés racines est compromise, révoquez les anciennes clés immédiatement après avoir généré les nouvelles.
Révoquez l’ancienne clé publique racine. Le Tanium Server révoque automatiquement la clé privée associée et propage la directive de révocation pour les anciennes clés racines et les clés subalternes à tous les composants Tanium Core Platform. Pour plus de détails, reportez-vous à la section Révoquer des clés racines.
(Best practice) Sauvegardez le déploiement Tanium juste avant et juste après la révocation des clés racines. Si la récupération devient nécessaire, vous devez restaurer le déploiement à partir de la sauvegarde post-révocation. Cependant, la sauvegarde pré-révocation peut contenir des informations utiles pour la planification de la récupération. Les étapes de sauvegarde dépendent de votre infrastructure Tanium :
- Guide de déploiement des appliances Tanium : Référence : Sauvegarde et récupération TanOS (une sauvegarde de base suffit)
- Guide de déploiement de Tanium Core Platform pour Windows : Sauvegarder des Tanium Servers Core Platform et des bases de données
  Si vous configurez le Tanium Server pour qu’il s’intègre à un module de sécurité matérielle (MSM), vous ne pouvez pas utiliser une sauvegarde du fichier pki.db pour installer un doublon cryptographiquement identique du serveur.

Intégration à un MSM

Si vous configurez le Tanium Server pour qu’il s’intègre à un module de sécurité matérielle (MSM) pour le stockage et la gestion des clés, toutes les opérations liées aux clés se produisent sur le MSM même lorsque vous utilisez la Tanium Console pour initier ces opérations. Voir Guide de référence du déploiement de Tanium Core Platform : Sécuriser les clés avec un MSM.

Afficher les informations sur les clés racines

La page Administration (Administration) > Configuration (Configuration) > Key & Trust Management (Gestion des clés et des approbations) > Current Server (Serveur actuel) affiche une mosaïque pour chaque clé publique racine active. Dans un déploiement actif/actif, la page affiche les clés des deux Tanium Servers, mais seulement après une approbation mutuelle validée (reportez-vous à la section Gestion de l’approbation des Tanium Servers). Vous pouvez identifier les clés par leur Fingerprint (Empreinte), qui correspond au hachage de la clé, et par le Name (Nom) du serveur. La clé publique racine, que le Tanium Server utilise pour la communication TLS avec le Tanium Client 7.2, a un Name (Nom) défini sur legacy-root (racine-existante). Toutes les autres clés sont destinées à la communication TLS avec les Tanium Servers Core Platform et avec le client Tanium 7.4 ou version ultérieure.

Figure 3 : Clés publiques racines Tanium

Vous pouvez également afficher les détails des opérations de clé racine, comme qui a généré ou révoqué une clé et quand :

Dans le menu principal, allez dans Administration (Administration) > Configuration (Configuration) > Key & Trust Management (Gestion des clés et des approbations) > Activity Log (Journal d’activité).
Passez en revue les entrées dans la grille All Root Keys (Toutes les clés racines).

Chiffrer la base de données des clés racines

Pour éviter tout accès non autorisé, spécifiez un mot de passe pour chiffrer les clés racines que le Tanium Server stocke dans le fichier pki.db.

La Tanium Console affiche les valeurs de la plupart des paramètres que vous définissez. Cependant, pour des raisons de sécurité, la Console n’affiche pas le mot de passe de chiffrement.

Définir le mot de passe de chiffrement

Chiffrez les clés racines en ajoutant le paramètre PKIDabAsepstword.

Dans le cadre d’un déploiement actif/actif, effectuez les étapes suivantes sur chaque Tanium Server.

Dans le menu principal, allez dans Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés) et cliquez sur Add Setting (Ajouter un paramètre).
Pour le Setting Type (Type de paramètre), sélectionnez Local (Local).
Pour le champ Platform Setting Name (Nom du paramètre de la plateforme), saisissez PKIDatabasePassword.
Définissez le champ Value Type (Type de valeur) sur Protected (Protégé).
Saisissez la Value (Valeur) du mot de passe et cliquez sur Save (Enregistrer).

Stockez le mot de passe dans un endroit sûr.

Modifier le mot de passe de chiffrement

Après avoir ajouté le paramètre PKIDatabasePassword, vous pouvez modifier le mot de passe.

Dans le cadre d’un déploiement actif/actif, effectuez les étapes suivantes sur chaque Tanium Server.

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
Dans la colonne Name (Nom), cliquez sur PKIDatabasePassword.
Le champ Value (Valeur) affiche (protégé) au lieu de la valeur réelle.
Saisissez une nouvelle Value (Valeur) et cliquez sur Save (Enregistrer).

Générer des clés racines

Vous pouvez générer des clés racines publiques-privées actives supplémentaires pour chaque Tanium Server. Dans un déploiement actif/actif, effectuez cette tâche sur chaque Tanium Server.

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Key & Trust Management (Gestion des clés et de l’approbation) > Current Server (Serveur actuel).
Cliquez sur Create New Key (Créer une nouvelle clé). La page affiche les détails de la clé publique racine dans une nouvelle mosaïque.

Révoquer des clés racines

Pour éviter les perturbations de communication entre les composants Tanium Core Platform, vous ne pouvez pas révoquer une paire de clés racines tant que vous n’avez pas généré une nouvelle paire de clés pour la remplacer. Examinez le workflow relatif aux Clés tournantes avant de révoquer l’ancienne paire de clés racines. Vous devez révoquer les clés sur les deux Tanium Servers dans un déploiement actif/actif.

Sauvegardez le déploiement Tanium juste avant et juste après la révocation des clés racines. Si la récupération devient nécessaire, vous devez restaurer le déploiement à partir de la sauvegarde post-révocation. Cependant, la sauvegarde pré-révocation peut contenir des informations utiles pour la planification de la récupération. Les étapes de sauvegarde dépendent de votre infrastructure Tanium :

Si vous configurez le Tanium Server pour qu’il s’intègre à un module de sécurité matérielle (MSM), vous ne pouvez pas utiliser une sauvegarde du fichier pki.db contenant les clés racines pour installer un doublon cryptographiquement identique du serveur.

Révoquez les clés comme suit :

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Key & Trust Management (Gestion des clés et de l’approbation) > Current Server (Serveur actuel).
Cliquez sur Revoke Key (Révoquer la clé) dans la mosaïque de la clé publique.

Télécharger les fichiers de configuration de l’infrastructure (clés)

Le Zone Server, le hub de Zone Server et les clients Tanium doivent authentifier le Tanium Server pour autoriser toute communication. La version 7.4 des serveurs et des clients utilise les clés (y compris la clé publique racine) , qui se trouvent dans le bundle d’initialisation (tanium-init.dat) à authentifier. Tanium Client 7.2 utilise uniquement la clé publique racine (tanium.pub) à authentifier. Le téléchargement du fichier d’initialisation ou du fichier de clés publiques du Tanium Server vous permet de déployer le fichier vers les clients Tanium, le Zone Server et le hub du Zone Server.

Veillez à ne pas permettre que le fichier tanium-init.dat ou tanium.pub soit distribué ou stocké en dehors de votre organisation, par exemple dans un référentiel de code source accessible publiquement ou tout autre emplacement accessible depuis l’Internet public. Limitez la distribution à une utilisation spécifique dans le déploiement des Tanium Clients.

Bien que ces fichiers ne contiennent pas de clés privées et ne puissent pas être utilisésce fichier ne contient pas de clés privées et ne puisse pas être utilisé pour fournir un contrôle sur un environnement Tanium, un utilisateur avec une intention malveillante pourrait les utiliser l’utiliser pour connecter un client non approuvé et utiliser cet accès non autorisé pour savoir comment votre organisation utilise Tanium.

Pour la version 7.4 ou ultérieure des serveurs et des clients, tanium-init.dat est requis pour les installations récentes. Si vous avez procédé à une mise à niveau et si vous prévoyez de déployer d’autres clients 7.2, utilisez tanium.pub. Si vous avez procédé à une mise à niveau et si vous prévoyez de déployer de nouveaux clients 7.4, l’utilisation de tanium-init.dat est la meilleure pratique.

Si vous téléchargez le fichier tanium-init.dat via Tanium Client Management, certains paramètres (comme ServerNameList (ListeNomsServeurs)) sont préconfigurés dans le fichier. Voir le Guide d’utilisation de Tanium Client Management : Téléchargez le bundle d’installation ou le fichier tanium-init.dat pour un déploiement alternatif.

(Déploiement actif/actif uniquement) Activez l’approbation entre les Tanium Servers dans un déploiement actif/actif si vous ne l’avez pas déjà fait. Lors de l’établissement de l’approbation, les serveurs échangent les clés nécessaires afin que le fichier tanium-init.dat sur chaque serveur contienne la clé publique des deux serveurs. Pour plus de détails, reportez-vous à la section Gestion de l’approbation des Tanium Servers.
(Tanium Client 7.2 uniquement) Activez le protocole Tanium que le Tanium Client 7.2 utilise pour s’authentifier :
1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
2. Dans les colonnes Name (Nom), cliquez sur enable_protocol_314_flag (activer_protocole_drapeau_314).
3. Définissez la Value (Valeur) sur 1 et cliquez sur Save (Enregistrer).
Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Infrastructure (Infrastructure).
Cliquez sur Download (Télécharger) dans la section Clients v7.4+ and Zone Server (Clients v7.4+ et zone Server) ou Clients v7.2 (Clients v7.2) en fonction du fichier requis.

Le fichier apparaît dans le dossier Downloads (Téléchargements) sur le système que vous utilisez pour accéder à la Tanium Console.

Pour déployer le fichier tanium-init.dat ou tanium.pub, reportez-vous au guide d’utilisation concerné :

Clients Tanium : reportez-vous au Guide d’utilisation de la gestion des clients Tanium.
Zone Server et hub : consultez le guide de votre infrastructure de déploiement :
- Guide de déploiement des appliances Tanium : Installation de Tanium Zone Server
- Guide de déploiement de Tanium Core Platform pour Windows : Installation du Tanium Zone server

Configurer la rotation des clés subordonnées

Les composants Tanium Core Platform génèrent automatiquement de nouvelles paires de clés subalternes lorsqu’il est temps de les faire tourner. Par exemple, les clients Tanium renouvellent leurs clés TLS quatre heures (délai de renouvellement) avant la fin de chaque période de validité de sept jours (intervalle d’expiration) par défaut. Le délai de renouvellement donne aux composants suffisamment de temps pour rétablir l’approbation dans l’environnement Tanium avant que les clés actuelles ne soient périmées. Configurez les périodes de validité et le délai de renouvellement pour respecter la politique de votre organisation. Si votre organisation ne dispose pas d’une politique, la meilleure pratique consiste à respecter le délai par défaut et les périodes de validité.

Vous devez configurer la période de validité d’une clé de manière à pouvoir dépasser son intervalle de renouvellement d’au moins une heure. Sinon, le Tanium Server augmente automatiquement la période de validité d’une heure de plus que l’intervalle de renouvellement, afin de s’assurer que la clé ne tourne pas plus d’une fois par heure.

Effectuez les étapes suivantes pour chaque type de paire de clés subalternes :

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
Cliquez sur le paramètre Name (Nom) dans la grille. Reportez-vous au Tableau 1 pour la liste des noms.
Saisissez la Value (Valeur) de la période de validité ou de la fenêtre de renouvellement appropriée et cliquez sur Save (Enregistrer).

Tableau 1 : Paramètres pour la rotation des clés
Configuration	Recommandations
pki_server_tls_key_duration_days	Période de validité pour la paire de clés que le Tanium Server utilise pour la communication TLS avec un autre Tanium Server (dans le cadre d’un déploiement actif/actif), avec le hub de Zone Servers ou avec des Tanium Clients. La valeur par défaut est 60 jours.
pki_server_tls_key_renewal_window_hours	Délai de renouvellement pour la paire de clés que le Tanium Server utilise pour la communication TLS avec un autre Tanium Server (dans le cadre d’un déploiement actif/actif), avec le hub de Zone Servers ou avec des Tanium Clients. La valeur par défaut est définie sur 4 heures.
pki_message_signing_key_duration_days	Période de validité pour la paire de clés que le Tanium Server utilise pour signer des messages (par exemple, pour les packs d’actions) qu’il envoie aux clients Tanium. La valeur par défaut est 180 jours.
pki_message_signing_key_renewal_window_hours	Délai de renouvellement pour la paire de clés que le Tanium Server utilise pour signer des messages (par exemple pour les packs d’actions) qu’il envoie aux clients Tanium. La valeur par défaut est définie sur 4 heures.
pki_hub_tls_key_duration_days	Période de validité pour la paire de clés que le hub du Zone Server utilise pour la communication TLS avec le Tanium Server et le Zone Server. La valeur par défaut est 60 jours.
pki_hub_tls_key_renewal_window_hours	Délai de renouvellement pour la paire de clés que le hub du Zone Server utilise pour la communication TLS avec le Tanium Server et le Zone Server. La valeur par défaut est définie sur 4 heures.
pki_zoneserver_tls_key_duration_days	Période de validité pour la paire de clés que le Zone Server utilise pour la communication TLS avec le hub de Zone Server et les clients Tanium. La valeur par défaut est 60 jours.
pki_zoneserver_tls_key_renewal_window_hours	Délai de renouvellement pour la paire de clés que le Zone Server utilise pour la communication TLS avec le hub de Zone Server et les clients Tanium. La valeur par défaut est définie sur 4 heures.
pki_client_tls_ca_key_duration_days	Période de validité pour la paire de clés que le Zone Server ou le Tanium Server utilise pour fournir des signatures numériques pour les Tanium Clients lorsqu’ils génèrent de nouvelles paires de clés TLS. La valeur par défaut est 180 jours.
pki_client_tls_ca_key_renewal_window_hours	Délai de renouvellement pour la paire de clés que le Zone Server ou le Tanium Server utilise pour fournir des signatures numériques pour les Tanium Clients lorsqu’ils génèrent de nouvelles paires de clés TLS. La valeur par défaut est définie sur 168 heures (7 jours).
pki_client_tls_key_duration_days	Période de validité pour les paires de clés que les Tanium Clients utilisent pour la communication TLS entre eux et avec le Zone Server ou le Tanium Server. La valeur par défaut est 7 jours.
PKIClientTLSKeyRenewalWindowHours	Délai de renouvellement pour les paires de clés que les Tanium Clients utilisent pour la communication TLS entre eux et avec le Zone Server ou le Tanium Server. La valeur par défaut est définie sur 4 heures.