Android デバイスへの CAの手動追加
Android デバイスのユーザーは、HTTPS スキャン用の証明機関 (CA) を追加できます。
はじめに
Sophos Firewall が Android デバイスに未登録の CA を使って HTTPS トラフィックをスキャンすると、デバイスに警告メッセージが表示されるか、トラフィックがブロックされます。
Sophos Firewall には、DPI エンジン (SSL/TLSインスペクション) および Web プロキシベースの HTTPS スキャン用の CA 証明書が付属しています。
ここでは、ユーザーが Android デバイスに手動で CA をインストールして HTTPS スキャンを許可する方法を示します。
設定手順は以下のとおりです。
- CA をダウンロードし、ユーザーに送信します。
- DPI エンジンを使用する場合は、SSL/TLS インスペクションおよび復号化用の CA を指定します。
- Sophos Firewall を Web プロキシとして使用する場合は、HTTPS の復号化およびスキャン用の CA を指定します。
- ユーザーが Android デバイスに CA を追加します。
HTTPS 復号化用のルート CA を適用し、CA をダウンロードする
HTTPS の復号化には、Sophos Firewall に付属の CA を使用します。
SSL/TLS インスペクション (DPI エンジン) 用の CA を選択する必要があります。また、HTTPS の復号化 (Web プロキシフィルタリング) 用の CA を選択する必要があります。さらに、CA をダウンロードする必要があります。
-
「証明書 > 証明機関」に移動し、
SecurityAppliance_SSL_CA
の横の「ダウンロード」 をクリックします。または、Sophos Firewall に付属のローカル署名 CA (デフォルトの CA) の設定を指定し、ダウンロードすることもできます。外部の CA をインポートすることもできます。
次に例を示します。
-
ユーザーに手動で CA を追加してもらうには、CA 証明書をメールでユーザーに送信します。
または、サーバーに CA をアップロードして、そのサーバーから各自のモバイルデバイスに証明書をダウンロードしてもらうこともできます。
-
SSL/TLSインスペクション (DPI エンジン) 用の CA を設定するには、以下の手順に従います。
- 「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「SSL/TLS インスペクションの設定」を選択します。
-
「再署名証明機関」の「RSA の再署名」で「
SecurityAppliance_SSL_CA (RSA)
」を選択します。次に例を示します。
-
「適用」をクリックします。
- HTTPS の復号化 (Web プロキシ) 用の CA を設定するには、「Web > 全般設定」に移動します。「HTTPS 復号化とスキャン」の「HTTPS スキャンの証明機関 (CA)」で「
SecurityAppliance_SSL_CA
」を選択します。
次に例を示します。
Android デバイスに CA を追加する
証明書をインストールするには、モバイルデバイスの PIN、パターン、またはパスワードを設定する必要があります。
Pixel Android デバイスでの手順を以下に示します。その他の Android デバイスについては、support.google.com
を参照してください。
- Android デバイスで「設定」アプリを開きます。
- 「セキュリティと現在地情報 > 詳細設定 > 暗号化と認証情報」をタップします。
-
「認証情報ストレージ」で、「ストレージからインストールする」または「SDカードからインストールする」をタップします。
-
左上の「メニュー」 をタップします。
-
「次から開く」で、証明書を保存した場所をタップします。
-
ファイルをタップします。
- デバイスの PIN を入力します。
- 証明書の名前を入力します。
-
「VPN とアプリ」または「Wi‑Fi」を選択し、「OK」をタップします。