TinyChannels End

User Manual — Secure End-Point Client ユーザーマニュアル — セキュア エンドポイントクライアント

Overview概要

TinyChannels End is a secure endpoint client that connects to TinyChannels Edge servers through WebTransport-based tunneling with channel authorization managed by the TinyChannels Center Authorization Manager.

The End client operates as a background daemon and is managed through the TinyChannels End Utility, a graphical application available on macOS and Windows, or via CLI on Linux.

TinyChannels End must be registered with an Authorization Manager before it can connect to Edge servers and establish secure channels.

TinyChannels End は、TinyChannels Center 認可マネージャーによって管理されるチャンネル認可を使用し、WebTransport ベースのトンネリングで TinyChannels Edge サーバーに接続するセキュアエンドポイントクライアントです。

End クライアントはバックグラウンドデーモンとして動作し、macOS および Windows ではグラフィカルな TinyChannels End ユーティリティから、Linux では CLI から管理します。

TinyChannels End は、Edge サーバーに接続してセキュアチャンネルを確立する前に、認可マネージャーに登録する必要があります。

System Requirementsシステム要件

PlatformDetails
macOSmacOS 13 (Ventura) or later, Apple Silicon or Intel
WindowsWindows 10/11 (64-bit)
LinuxUbuntu 22.04+, RHEL 9+, or equivalent (x86_64)

Network access to the Authorization Manager endpoint (HTTPS) and Edge servers (UDP/QUIC) is required.

プラットフォーム詳細
macOSmacOS 13 (Ventura) 以降、Apple Silicon または Intel
WindowsWindows 10/11 (64ビット)
LinuxUbuntu 22.04+、RHEL 9+、または同等 (x86_64)

認可マネージャーエンドポイント (HTTPS) および Edge サーバー (UDP/QUIC) へのネットワークアクセスが必要です。

Installationインストール

macOSmacOS

  1. Open the .pkg or .dmg installer.
  2. Follow the on-screen instructions. Administrator privileges are required.
  3. The application is installed to /Applications/TinyChannels End.app.
  4. Configuration and data are stored in /Library/Application Support/TinyChannels End/.
  1. .pkg または .dmg インストーラーを開きます。
  2. 画面の指示に従います。管理者権限が必要です。
  3. アプリケーションは /Applications/TinyChannels End.app にインストールされます。
  4. 設定とデータは /Library/Application Support/TinyChannels End/ に保存されます。

WindowsWindows

  1. Run the .msi installer.
  2. Follow the installation wizard. Administrator privileges are required.
  3. Binaries are installed to C:\Program Files\TinyChannels End\bin\.
  4. Data is stored in C:\ProgramData\TinyChannels End\.
  1. .msi インストーラーを実行します。
  2. インストールウィザードに従います。管理者権限が必要です。
  3. バイナリは C:\Program Files\TinyChannels End\bin\ にインストールされます。
  4. データは C:\ProgramData\TinyChannels End\ に保存されます。

Linux (Debian/Ubuntu)Linux (Debian/Ubuntu)

  1. Install: sudo dpkg -i tinychannels-end_*.deb
  2. All files are installed to /opt/tinychannels-end/.
  1. インストール: sudo dpkg -i tinychannels-end_*.deb
  2. すべてのファイルは /opt/tinychannels-end/ にインストールされます。

Linux (RHEL/CentOS)Linux (RHEL/CentOS)

  1. Install: sudo rpm -i tinychannels-end-*.rpm
  2. All files are installed to /opt/tinychannels-end/.
  1. インストール: sudo rpm -i tinychannels-end-*.rpm
  2. すべてのファイルは /opt/tinychannels-end/ にインストールされます。

Registration登録

Before using TinyChannels End, you must register it with an Authorization Manager.

GUI (macOS / Windows)

  1. Enter the End Name (defaults to your hostname).
  2. Enter the Authorization Manager Endpoint URL (e.g. https://your-center.example.com). Do not include /api — it is added automatically.
  3. Enter the Protection Code — a shared secret obtained from the Authorization Manager operator (Portal Edge/End page). The protection code may be rotated periodically.
  4. Click Register.
  5. If the server's TLS certificate is not trusted by the system, a certificate approval dialog will appear (see next section).
  6. Upon successful registration, you will be prompted to start the daemon.

CLI (Linux)

Run the utility with the init subcommand:

sudo /opt/tinychannels-end/bin/tinychannels-end-utility init \
    --auth-manager-endpoint https://your-center.example.com \
    --end-name "Office PC"

You will be interactively prompted for the Protection Code — the input is hidden (like a password). Press Enter after typing.

Registration generates a unique identity (UUID, certificate, and private key) that is stored locally in registration.json. The private key is encrypted using a machine-bound key derived from the hardware identifier.
The Protection Code is required by the Authorization Manager and authenticates the registration request. Keep it confidential. The CLI never accepts the protection code as a command-line argument so it does not appear in shell history or process listings.

TinyChannels End を使用する前に、認可マネージャーに登録する必要があります。

GUI(macOS / Windows)

  1. End 名を入力します(デフォルトはホスト名)。
  2. 認可マネージャーエンドポイント URL を入力します(例: https://your-center.example.com)。/api を含めないでください。自動的に追加されます。
  3. 保護コードを入力します。これは認可マネージャー管理者から提供される共有シークレット(Portal の Edge/End ページから取得)です。保護コードは定期的にローテーションされる場合があります。
  4. 登録をクリックします。
  5. サーバーの TLS 証明書がシステムで信頼されていない場合、証明書承認ダイアログが表示されます(次のセクションを参照)。
  6. 登録が成功すると、デーモンの起動を促すプロンプトが表示されます。

CLI(Linux)

ユーティリティを init サブコマンドで実行します:

sudo /opt/tinychannels-end/bin/tinychannels-end-utility init \
    --auth-manager-endpoint https://your-center.example.com \
    --end-name "Office PC"

その後、保護コードを対話的に求められます。入力はパスワードのように非表示になります。入力後 Enter を押してください。

登録により、一意の ID(UUID、証明書、秘密鍵)が生成され registration.json にローカル保存されます。秘密鍵はハードウェア識別子から導出されたマシン固有の鍵で暗号化されます。
保護コードは認可マネージャーで必須となっており、登録リクエストを認証します。機密情報として扱ってください。CLI では保護コードをコマンドライン引数として受け取りません。これによりシェル履歴やプロセス一覧に表示されません。

Certificate Approval証明書の承認

When connecting to an Authorization Manager with an untrusted TLS certificate, a certificate details dialog is shown displaying:

  • Issuer, Common Name, Subject Alternative Names (SAN)
  • Valid From / Valid To dates
  • Hash Algorithm

Click Accept to trust the certificate and proceed with registration, or Deny to abort.

The accepted certificate is stored in registration.json. If the server certificate changes, you will be prompted again.

信頼されていない TLS 証明書を持つ認可マネージャーに接続する場合、以下の情報を表示する証明書詳細ダイアログが表示されます:

  • 発行者、コモンネーム、サブジェクト代替名 (SAN)
  • 有効期間開始日 / 有効期間終了日
  • ハッシュアルゴリズム

承認をクリックして証明書を信頼し登録を続行するか、拒否をクリックして中止します。

承認された証明書は registration.json に保存されます。サーバー証明書が変更された場合、再度プロンプトが表示されます。

Daemon Managementデーモン管理

The TinyChannels End daemon runs as a background service. Use the utility to start and stop it:

  • Start (▶) — Starts the daemon. It will connect to the registered Edge server.
  • Stop (■) — Stops the daemon and disconnects from the Edge.

macOS

The daemon runs as a LaunchDaemon (com.shimousa.tinychannels.end).

Linux

Managed via systemd: systemctl start tinychannels-end / systemctl stop tinychannels-end

Windows

Runs as a Windows Service named TinyChannelsEnd.

TinyChannels End デーモンはバックグラウンドサービスとして動作します。ユーティリティを使用して起動・停止できます:

  • 開始 (▶) — デーモンを起動します。登録済みの Edge サーバーに接続します。
  • 停止 (■) — デーモンを停止し、Edge から切断します。

macOS

デーモンは LaunchDaemon (com.shimousa.tinychannels.end) として動作します。

Linux

systemd で管理: systemctl start tinychannels-end / systemctl stop tinychannels-end

Windows

Windows サービス TinyChannelsEnd として動作します。

Status Monitorステータスモニター

The utility shows real-time status information:

FieldDescription
DaemonRunning / Not Running
RegistrationRegistered / Not Registered
Edge ConnectionConnected / Disconnected, with endpoint address
Active SessionsNumber of active channel sessions
Bytes Sent / ReceivedCumulative transfer statistics

Status is polled automatically every 5 seconds.

ユーティリティはリアルタイムのステータス情報を表示します:

項目説明
デーモン稼働中 / 停止中
登録登録済み / 未登録
Edge 接続接続済み / 未接続(エンドポイントアドレス付き)
アクティブセッションアクティブなチャンネルセッション数
送信 / 受信バイト累計転送統計

ステータスは 5 秒ごとに自動的にポーリングされます。

Advanced Configuration詳細設定

The Advanced Configuration panel in the utility allows you to configure the target IP address ranges used by TinyChannels End.

Target Networks

Target networks define which IP address ranges are captured and tunnelled through TinyChannels channels. Traffic destined for these ranges is intercepted by the packet handler and forwarded to the remote End via the Edge.

  • Enter each network in CIDR notation (e.g. 172.21.0.0/16, 172.16.0.0/12).
  • The first network determines the pseudo base address used for mapping remote End UUIDs to local IP addresses, and the DNS server address (broadcast address − 1).
  • Click Add Network to add additional ranges, or the trash icon to remove one.
  • Click Save to write the configuration to tinychannels-end.yaml.
  • After saving, restart the daemon for changes to take effect.
Changing the target network range may affect existing channel sessions. Make sure the configured range does not conflict with your local network addresses.

ユーティリティの詳細設定パネルでは、TinyChannels End が使用するターゲットIPアドレス範囲を設定できます。

ターゲットネットワーク

ターゲットネットワークは、TinyChannelsチャネルを通じてキャプチャおよびトンネリングされるIPアドレス範囲を定義します。これらの範囲宛てのトラフィックはパケットハンドラによってインターセプトされ、Edge経由でリモートEndに転送されます。

  • 各ネットワークはCIDR表記で入力してください(例:172.21.0.0/16172.16.0.0/12)。
  • 最初のネットワークは、リモートEnd UUIDをローカルIPアドレスにマッピングするための疑似ベースアドレスと、DNSサーバーアドレス(ブロードキャストアドレス − 1)を決定します。
  • ネットワーク追加をクリックして範囲を追加するか、ゴミ箱アイコンで削除します。
  • 保存をクリックすると、設定が tinychannels-end.yaml に書き込まれます。
  • 保存後、変更を有効にするにはデーモンを再起動してください。
ターゲットネットワーク範囲を変更すると、既存のチャネルセッションに影響する場合があります。設定した範囲がローカルネットワークアドレスと競合しないことを確認してください。

Configuration File設定ファイル

The main configuration file is tinychannels-end.yaml. Key settings:

KeyDescription
TargetNetworksList of IP address ranges in CIDR notation to capture and tunnel (e.g. ["172.21.0.0/16"]). The first entry determines the pseudo base address and DNS server address. Can also be configured from the utility's Advanced Configuration panel.
Directory.HomeDirectoryBase directory for data, logs, and configuration (used by the daemon)
LogRotation.GenerationsNumber of log file generations to retain (used by the daemon, default: 4)

Example:

Directory:
  HomeDirectory: /Library/Application Support/TinyChannels End
LogRotation:
  Generations: 4
TargetNetworks:
  - "172.21.0.0/16"

If the file is missing or contains no valid target networks, the default 172.21.0.0/16 is used.

The configuration file is preserved during upgrades. If you need to reset to defaults, delete the file and reinstall.

メイン設定ファイルは tinychannels-end.yaml です。主な設定:

キー説明
TargetNetworksキャプチャおよびトンネリングするIPアドレス範囲のリスト(CIDR表記、例:["172.21.0.0/16"])。最初のエントリが疑似ベースアドレスとDNSサーバーアドレスを決定します。ユーティリティの詳細設定パネルからも設定可能です。
Directory.HomeDirectoryデータ、ログ、設定のベースディレクトリ(デーモンが使用)
LogRotation.Generations保持するログファイルの世代数(デーモンが使用、デフォルト: 4)

例:

Directory:
  HomeDirectory: /Library/Application Support/TinyChannels End
LogRotation:
  Generations: 4
TargetNetworks:
  - "172.21.0.0/16"

ファイルが存在しない場合や有効なターゲットネットワークが含まれていない場合は、デフォルトの 172.21.0.0/16 が使用されます。

設定ファイルはアップグレード時に保持されます。デフォルトにリセットする場合は、ファイルを削除して再インストールしてください。

Data Locationsデータの保存場所

PlatformLocation
macOS/Library/Application Support/TinyChannels End/
Linux/opt/tinychannels-end/
WindowsC:\ProgramData\TinyChannels End\
FileDescription
registration.jsonRegistration data (UUID, certificates, encrypted private key, accepted server cert)
tinychannels-end.yamlMain configuration file
.eula_acceptedEULA acceptance marker
logs/Application log files
プラットフォーム場所
macOS/Library/Application Support/TinyChannels End/
Linux/opt/tinychannels-end/
WindowsC:\ProgramData\TinyChannels End\
ファイル説明
registration.json登録データ(UUID、証明書、暗号化された秘密鍵、承認済みサーバー証明書)
tinychannels-end.yamlメイン設定ファイル
.eula_acceptedEULA 同意マーカー
logs/アプリケーションログファイル

CLI CommandsCLIコマンド

tinychannels-end

CommandDescription
init --auth-manager-endpoint <URL> [--end-name <NAME>] [--protection-code <CODE>] [--accept-server-cert <PEM>]Register with an Authorization Manager. The --protection-code argument is intended for internal use by the utility; users should use the utility's interactive prompt instead.
versionShow version information
statusQuery daemon status via IPC

tinychannels-end-utility

CommandDescription
init --auth-manager-endpoint <URL> [--end-name <NAME>]Register with an Authorization Manager. Interactively prompts for the Protection Code (hidden input). --end-name defaults to the hostname.
statusShow daemon status
startStart the daemon
stopStop the daemon
serve --port <PORT>Start the web UI server (headless)
(no command)Launch the GUI (macOS / Windows). On Linux, prints help.

Use tinychannels-end-utility <command> --help to see all options for a subcommand.

tinychannels-end

コマンド説明
init --auth-manager-endpoint <URL> [--end-name <NAME>] [--protection-code <CODE>] [--accept-server-cert <PEM>]認可マネージャーに登録します。--protection-code 引数はユーティリティから内部的に使用されるためのものであり、ユーザーはユーティリティの対話的プロンプトを使用してください。
versionバージョン情報を表示
statusIPC 経由でデーモンステータスを問い合わせ

tinychannels-end-utility

コマンド説明
init --auth-manager-endpoint <URL> [--end-name <NAME>]認可マネージャーに登録します。保護コードは対話的に入力を求められます(非表示入力)。--end-name はホスト名がデフォルトです。
statusデーモンステータスを表示
startデーモンを起動
stopデーモンを停止
serve --port <PORT>Web UI サーバーを起動(ヘッドレス)
(コマンドなし)GUI を起動(macOS / Windows)。Linux ではヘルプを表示します。

各サブコマンドのオプション一覧は tinychannels-end-utility <command> --help で確認できます。

Troubleshootingトラブルシューティング

ProblemSolution
Registration failsVerify the Authorization Manager endpoint URL is correct and reachable. Check firewall rules for HTTPS access.
Certificate errorIf the server certificate changed, delete registration.json and re-register to be prompted for the new certificate.
Daemon not startingCheck logs in the data directory. Ensure registration is complete (registration.json exists).
Edge connection failsVerify UDP/QUIC connectivity to the Edge server. Check that the Edge is running and registered with the same Authorization Manager.
Private key decryption failsThe private key is bound to the machine. If hardware changed, re-register the End.
問題解決策
登録に失敗する認可マネージャーのエンドポイント URL が正しく、到達可能であることを確認してください。HTTPS アクセスのファイアウォールルールを確認してください。
証明書エラーサーバー証明書が変更された場合、registration.json を削除して再登録し、新しい証明書のプロンプトを表示させてください。
デーモンが起動しないデータディレクトリのログを確認してください。登録が完了していることを確認してください(registration.json が存在すること)。
Edge 接続に失敗するEdge サーバーへの UDP/QUIC 接続を確認してください。Edge が同じ認可マネージャーに登録されて稼働していることを確認してください。
秘密鍵の復号に失敗する秘密鍵はマシンに紐付いています。ハードウェアが変更された場合は、End を再登録してください。

Uninstallationアンインストール

macOS

Run the uninstall script: sudo "/Applications/TinyChannels End.app/Contents/MacOS/uninstall.sh"

Data remains at /Library/Application Support/TinyChannels End/ and can be manually removed.

Linux (Debian/Ubuntu)

sudo dpkg -r tinychannels-end

Linux (RHEL/CentOS)

sudo rpm -e tinychannels-end

Windows

Uninstall from Settings > Apps or Control Panel > Programs.

macOS

アンインストールスクリプトを実行: sudo "/Applications/TinyChannels End.app/Contents/MacOS/uninstall.sh"

データは /Library/Application Support/TinyChannels End/ に残ります。手動で削除できます。

Linux (Debian/Ubuntu)

sudo dpkg -r tinychannels-end

Linux (RHEL/CentOS)

sudo rpm -e tinychannels-end

Windows

設定 > アプリまたはコントロールパネル > プログラムからアンインストールします。