HTTPS インスペクション用の下位 CA のインストール
すべての Sophos Firewall アプライアンスで SSL/TLS スキャンに 1つの証明書を使用できるように、下位 CA を作成してインストールします。
はじめに
DPI エンジンと Sophos Firewall ダイレクト Web プロキシの両方で独自の証明書を使用できます。設定手順は以下のとおりです。
- 証明書署名要求 (CSR) の生成。
- CSR に署名します。
- 署名付き CA を変換します。
- 署名付き CA を Sophos Firewall にアップロードします。
- ルート CA を Sophos Firewall にアップロードします。
- DPI エンジンを使用する場合は、 HTTPS スキャン CA を設定します。
- Sophos Firewall をダイレクト Web プロキシとして使用する場合は、 HTTPS スキャン CA を設定します。
- 新しい証明書が Web トラフィックに使用されていることを確認します。
証明書署名要求 (CSR) の生成
証明書および身元の詳細を指定します。
この CSR を証明機関 (CA) に送信すると、それに基づいて CA から証明書が発行されます。
- 「証明書 >証明書」の順に選択し、「追加」を選択します。
-
「処理」で「証明書署名要求 (CSR) の生成」を選択します。
Sophos Firewall で CSR を生成するオプションを以下に示します。
-
証明書の詳細を指定します。
名前 説明 名前 名前を入力します。 鍵の種類 次のオプションから選択します。 - RSA
- 楕円曲線暗号
鍵の長さ キーの種類を「RSA」に設定した場合は、キーの長さを選択します。鍵の長さは、鍵の生成に使用するビット数となります。
鍵のサイズが大きいほうが安全ですが、データの暗号化と復号化に時間がかかります。曲線名 キーの種類を「楕円曲線暗号」に設定した場合は、曲線名を選択します。 セキュアハッシュ 一覧からアルゴリズムを選択します。 -
「サブジェクト名の属性」セクションに、共通名を入力します。
他のフィールドには、ライセンスの詳細があらかじめ入力されています。
名前 説明 国名 デバイスを導入する国。 状態 都道府県。 地域名 都市名。 組織名 証明書所有者の名前。
例:Sophos Group
組織単位名 証明書の割り当て先の部門名。
例:Marketing
共通名 共通名または FQDN。
例:marketing.sophos.com
メールアドレス 担当者のメールアドレス。 「識別名」には、証明書の識別名のプレビューが表示され、このセクションで加えた変更点が動的に反映されます。
サブジェクト名の属性の設定例を以下に示します。ご自分の組織の値を入力してください。
-
「サブジェクト代替名 (SAN)」セクションにサブジェクト代替名を追加します。
少なくとも 1つの SAN または証明書 ID を入力してください。
SAN (サブジェクト代替名) は、証明書が適用されるエンティティを規定します。エンティティとしては、DNS 名または IP アドレス(IPv4 または IPv6) を指定できます。
詳細設定: 以前のバージョンの Sophos Firewall で証明書を使用する場合は、ここで「証明書 ID」を設定します。
- デバイスを識別する証明書 ID のタイプを選択し、 ID を指定します。
- DNS: ドメイン名を入力します。この名前は、 DNS レコードの IP アドレスに解決される必要があります。
- IP アドレス: 所有しているパブリック IP アドレスを使用する場合に使います。
- メール: 連絡先のメールアドレス。
- DER ASN1 DN [X.509]: デジタル証明書が必要な場合に使用します。 SAN の設定例を以下に示します。ご利用のドメインに適した値を入力してください。
- デバイスを識別する証明書 ID のタイプを選択し、 ID を指定します。
-
「保存」をクリックします。
-
ダウンロードボタン を使用して CSR をダウンロードします。
ダイアログボックスに証明書要求が表示されます。
CSR に署名する方法
ルート CA 証明書によって署名された新しい証明書を作成する必要があります。
-
Microsoft 証明書サーバーにサインインし、「証明書を要求する」を選択します。
オプションが下でハイライト表示されます。
-
「証明書の要求の詳細設定」を選択します。
オプションが下でハイライト表示されます。
-
Sophos Firewall からダウンロードした CSR ファイルを開き、余分な行を追加せずに完全なコンテンツをコピーします。「テンプレート」用の「下位証明機関」を選択します。
CSR コンテンツと正しいメニューオプションを貼り付ける領域が下で強調表示されています。
-
DER
エンコード形式で証明書をダウンロードします。ファイル形式とダウンロードオプションは、以下で強調表示されています。
ダウンロードされた証明書ファイルは次のようになります。
-
証明書の署名に使用したルート CA をダウンロードします。
ダウンロードオプションが下で強調表示されています。
署名付き CA を Sophos Firewall にアップロードする
HTTPS スキャンに使用するには、署名付き CA を Sophos Firewall にアップロードする必要があります。
- 「証明書 >証明機関」に移動し、「追加」をクリックします。
-
CA 証明書をアップロードするか、証明書データを貼り付けます。証明書の形式は、自動的に検出されます。
PEM
、DER
、CER
の形式の X.509 証明書を使用できます。選択するオプションは以下のとおりですが、独自のファイル名は異なるため、 CSR の作成時に指定したものと一致する必要があります。
-
「保存」をクリックします。
ルート CA を Sophos Firewall にアップロードする
最近アップロードした署名付き CA を使用するには、そのルート CA を Sophos Firewall に追加する必要もあります。
- 「証明書 >証明機関」に移動し、「追加」をクリックします。
-
CA 証明書をアップロードするか、証明書データを貼り付けます。
以下のオプションを指定する必要があります。証明書のサーバーからダウンロードした CA に一致するファイル名を指定してください。
-
「保存」をクリックします。
CSR は、証明書リストから自動的に削除されます。
DPI エンジンを使用する場合は、 HTTPS スキャン CA を設定する
最近署名した CA を使用するように、HTTPS 復号化とスキャンを設定する必要があります。
- 「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「SSL/TLS インスペクションの設定」を選択します。
-
「再署名証明機関」セクションで、「RSA の再署名:」用の最近署名した CA を選択します。
設定項目を以下に示します。上記の手順でアップロードした証明書を選択してください。
-
「適用」をクリックします。
Web トラフィックスキャンに DPI エンジンを使用しない場合は、 HTTPS スキャン CA を設定する
- 「Web > 全般設定」に移動します。
-
「HTTPS 復号化とスキャン」セクションで、認証機関 (CA) の HTTPS スキャン用の最近署名した CA を選択します。
メニューオプションは以下のとおりです。選択した証明書は、以前にアップロードした証明書と一致する必要があります。
-
「適用」を選択します。
Web トラフィックに正しい証明書が使用されていることを確認する
- Web ブラウザを開き、
google.com
などの HTTP Web サイトに移動します。 . - アドレスバーの横にある鍵のアイコンをクリックし、「証明書」を選択します。
-
「証明書パス」を選択します。
証明書パスの例を以下に示します。
新しく署名された CA が使用され、ルート CA が下位 CA への署名に使用されていることがわかります。