HTTPS インスペクション用の下位 CA のインストール

すべての XG Firewall アプライアンスで SSL/TLS スキャンに同じ証明書を使用できるようにするため、下位 CA を作成してインストールします。

はじめに

XG Firewall を直接 Web プロキシとして使用する場合は、独自の証明書を DPI エンジンと直接 Web プロキシの両方で使用できます。設定手順は次のとおりです。

  • 証明書署名要求 (CSR) の生成。
  • CSR への署名。
  • 署名済み CA の変換。
  • 署名済み CA の XG Firewall へのアップロード。
  • ルート CA の XG Firewall へのアップロード
  • HTTPS スキャン用 CA の設定 (DPI エンジンを使用する場合)。
  • HTTPS スキャン用 CA の設定 (XG Firewall を直接 Web プロキシとして使用する場合)。
  • 新しい証明書が Web トラフィックに使用されているかどうかの確認。

証明書署名要求 (CSR) の生成

証明書と ID の詳細を指定します。

CSR を認証局に送信すると、その詳細に基づいて CA が証明書を発行します。

  1. 証明書に移動して、追加をクリックします。
  2. 処理証明書署名要求 (CSR) を生成するを選択します。

    CSR を生成するオプションを以下に示します。


    XG の CSR 生成オプション
  3. 証明書の詳細を指定します。

    名前

    説明

    名前

    名前を入力します。

    有効期間の終了日

    証明書の有効期間を指定します。

    鍵の種類

    次から選択します。

    • RSA
    • 楕円曲線暗号

    鍵の長さ

    鍵の種類をRSAに設定した場合は、鍵の長さを選択します。鍵の長さとは、鍵の生成に使用するビット数です。

    鍵のサイズが大きいほうが安全ですが、暗号化と暗号解除に時間がかかります。

    曲線名

    鍵の種類を楕円曲線暗号に設定した場合は、曲線名を選択します。

    Web サイトと XG Firewall の管理コンソールには、「secp521r1」を選択しないでください。Google Chrome は、一部のオペレーティングシステムでこの曲線に対応していません。

    セキュアハッシュ

    リストからアルゴリズムを選択します。

    鍵の暗号化

    秘密鍵を暗号化します。

    パスフレーズ/PSK

    「鍵の暗号化」を選択した場合は、パスフレーズまたは事前共有鍵を入力し、もう一度確認入力します。

    証明書 ID

    デバイスを識別する証明書 ID の種類を選択し、ID を指定します。

    • DNS: ドメイン名を入力します。この名前は、DNS レコードで IP アドレスに解決する必要があります。
    • IP アドレス: 自身が所有しているパブリック IP アドレスを使用できます。
    • メール: 担当者のメールアドレス。
    • DER ASN1 DN [X.509]: デジタル証明書が必要な場合に使用します。

    証明書の詳細データの例を以下に示します (ご自身のドメインの詳細を入力してください)。


    証明書の詳細
  4. ID の属性を指定します。

    名前

    説明

    国名

    デバイスを導入する国。

    状態

    都道府県。

    Locality Name

    都市名。

    組織名

    証明書の所有者名。例: Sophos Group

    組織単位名

    証明書の割り当て先の部門名。例: マーケティング

    一般名(CN)

    一般名 (CN) または FQDN。例: marketing.sophos.com

    メールアドレス

    担当者のメールアドレス。

    ID の属性の例を以下に示します (ご自身の組織の詳細を入力してください)。


    ID の属性
  5. 保存」をクリックします。
  6. ダウンロードボタンを使って、CSR をダウンロードします。

    以下で強調表示されているダウンロードボタンを使用します。


    XG の CSR ダウンロードオプション

    ダウンロードした CSR パッケージには、以下が含まれています:

    • CSR (.csr 形式)
    • 秘密鍵 (.key 形式)
    • パスワード (.txt 形式)

    CSR の内容を以下に示します。ファイル名は、上記の「証明書の詳細」セクションで入力した名前になります。


    CSR zip ファイルの内容の例

CSR への署名

ルート CA 証明書によって署名された新しい証明書を作成する必要があります。

  1. Microsoft 証明書サーバーにサインインし、「証明書の要求」を選択します。

    以下で強調表示されているオプションです。


    サーバーの「証明書の要求」オプション
  2. 「証明書の要求の詳細設定」を選択します。

    以下で強調表示されているオプションです。


    サーバーの「証明書の要求の詳細設定」オプション
  3. XG Firewall からダウンロードした CSR ファイルを開き、内容をすべてそのままコピーします。テンプレートとして「下位の証明機関」を選択します。

    以下で強調表示されているのは、CSR の内容を貼り付ける場所と、選択するオプションです。


    サーバー上の CSR コードおよび証明書テンプレートのオプション
  4. DER エンコード形式で証明書をダウンロードします。

    以下で強調表示されているファイル形式とダウンロードオプションを選択します。


    サーバーのダウンロードおよびエンコードオプション

    ダウンロードされた証明書ファイルは以下のように表示されます。


    証明書ファイルの例
  5. 証明書への署名に使用したルート CA をダウンロードします。

    以下で強調表示されているダウンロードオプションを選択します。


    サーバーの証明書ダウンロードオプション

署名済み CA の XG Firewall へのアップロード

署名済み CA を HTTPS スキャンに使用するには、XG Firewall にアップロードする必要があります。

  1. 証明書 > 認証局 (CA)にアクセスして、追加をクリックします。
  2. 次の情報を入力します。
    オプション説明

    名前

    証明書の名前を入力します。

    証明書のファイル形式

    証明書の形式を選択します。

    証明書

    「参照」をクリックし、証明書ファイルを選択します。

    秘密鍵

    「参照」をクリックし、CSR ファイルとともにダウンロードした秘密鍵ファイルを選択します。秘密鍵ファイルの拡張子は .key です。

    CA パスフレーズ

    CSR の作成時に使用したパスフレーズを入力します。これは、CSR パッケージの一部としてダウンロードした Password.txt ファイルに保存されています。

    選択するオプションは以下のとおりですが、ファイル名は CSR の作成時に指定したものにしてください。


    CA のアップロードの例
  3. 保存」をクリックします。

ルート CA の XG Firewall へのアップロード

最近アップロードした署名済み CA を使用するには、そのルート CA も XG Firewall に追加する必要があります。

  1. 証明書 > 認証局 (CA)にアクセスして、追加をクリックします。
  2. 証明書の名前を入力します。
  3. 証明書のファイル形式「PEM」を選択します。
  4. 証明書「参照」をクリックし、ルート CA を選択します。

    選択するオプションは以下のとおりですが、ファイル名は証明書サーバーからダウンロードした CA と同じにしてください。


    証明書ファイルの形式の例
  5. 保存」をクリックします。

HTTPS スキャン用 CA の設定 (DPI エンジンを使用する場合)

HTTPS 復号化とスキャンで、最近署名した CA を使用するように設定する必要があります。

  1. ルールとポリシー > SSL/TLS インスペクションルール > SSL/TLS インスペクションの設定の順にアクセスします。
  2. 再署名認証局」セクションのRSA の再署名:で、最近署名した CA を選択します。

    メニューのオプションは以下のとおりです。既にアップロード済みの証明書を選択してください。


    RSA 再署名証明書を選択するメニュー
  3. 適用を選択します。

HTTPS スキャン用 CA の設定 (Web トラフィックのスキャンに DPI エンジンを使用しない場合)

  1. Web > 全般設定に進んでください。
  2. HTTPS 復号化とスキャン」セクションの「認証機関 (CA) の HTTPS スキャン」で、最近署名した CA を選択します。

    メニューのオプションは以下のとおりです。既にアップロード済みの証明書を選択してください。


    直接プロキシの HTTPS スキャン用 CA の設定
  3. 適用を選択します。

Web トラフィックに正しい証明書が使用されているかどうかの確認

  1. Web ブラウザを開き、HTTP の Web サイト (google.com など) にアクセスします。
  2. アドレスバーの横にある鍵のアイコンをクリックし、「証明書」を選択します。
  3. 「証明のパス」を選択します。

    証明のパスの例を以下に示します。


    ブラウザの証明書チェーン
    新しく署名した CA が使用され、ルート CA が下位の CA の署名に使用されていることがわかります。