コンテンツにスキップ

Sophos Mobile を使って、モバイルデバイスで CA を信頼して HTTPS 復号化を実行する方法

Sophos Firewall がモバイルデバイスに未登録の証明機関 (CA) を使って HTTPS トラフィックの復号化を行うと、モバイルデバイスに警告メッセージが表示されるか、トラフィックがブロックされます。

はじめに

モバイルデバイスに CA をインポートして Sophos Firewall を信頼させて、HTTPS 復号化を実行できるようにする必要があります。これは、Web プロキシまたは DPI エンジンによる復号化にあてはまります。

Sophos Firewall には、HTTPS インスペクション用の CA 証明書が付属しています。Sophos Mobile などのモバイルデバイス管理 (MDM) ソリューションを使用して、モバイルデバイスグループにその CA をインストールすることができます。

Apple は、CA のインストールに、MDM ソリューションまたは Apple Configurator を使用することを推奨しています。そうすると、CA が自動的に信頼されるようになります。

Apple Configurator を使用する場合は、Mac で設定プロファイルを作成する必要があります。その後、1つまたは複数の iOS デバイスを接続し、CA をインストールできます。

ここでは、Sophos Mobile (ソフォスの MDM ソリューション) で登録した iOS モバイルデバイスに CA をインストールする方法を説明します。Sophos Mobile を使って、Android および iOS モバイルデバイスのグループに証明書と CA をインストールできます。

設定手順は以下のとおりです。

  • CA をダウンロードします。
  • DPI エンジンを使用する場合は、SSL/TLS インスペクションおよび復号化用の CA を指定します。
  • Sophos Firewall を Web プロキシとして使用する場合は、HTTPS の復号化およびスキャン用の CA を指定します。
  • Sophos Mobile に移動し、CA をデバイスポリシーに追加します。詳しくは、Sophos Mobile 管理者ヘルプで、Android または iOS デバイスポリシーにおけるルート証明書の設定に関する説明を参照してください。
  • 登録済みモバイルデバイスにルート CA が追加されたことを確認します。

HTTPS 復号化用のルート CA を適用し、CA をダウンロードする

HTTPS の復号化には、Sophos Firewall に付属の CA を使用します。

SSL/TLS インスペクション (DPI エンジン) 用の CA を選択する必要があります。また、HTTPS の復号化 (Web プロキシフィルタリング) 用の CA を選択する必要があります。さらに、CA をダウンロードする必要があります。

  1. 証明書 > 証明機関」に移動し、SecurityAppliance_SSL_CA の横の「ダウンロード」 ダウンロードボタン。 をクリックします。

    または、Sophos Firewall に付属のローカル署名 CA (デフォルトの CA) の設定を指定し、ダウンロードすることもできます。外部の CA をインポートすることもできます。

    次に例を示します。

    Security Appliance CA をダウンロードします。

  2. ユーザーに手動で CA を追加してもらうには、CA 証明書をメールでユーザーに送信します。

    または、サーバーに CA をアップロードして、そのサーバーから各自のモバイルデバイスに証明書をダウンロードしてもらうこともできます。

  3. SSL/TLSインスペクション (DPI エンジン) 用の CA を設定するには、以下の手順に従います。

    1. ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「SSL/TLS インスペクションの設定」を選択します。
    2. 再署名証明機関」の「RSA の再署名」で「SecurityAppliance_SSL_CA (RSA)」を選択します。

      次に例を示します。

      SSL/TLS インスペクションの設定に CA を適用します。

    3. 適用」をクリックします。

    4. HTTPS の復号化 (Web プロキシ) 用の CA を設定するには、「Web > 全般設定」に移動します。「HTTPS 復号化とスキャン」の「HTTPS スキャンの証明機関 (CA)」で「SecurityAppliance_SSL_CA」を選択します。

    次に例を示します。

    HTTPS 復号化 (Web プロキシフィルタリング) に CA を適用します。

Sophos Mobile を使ってモバイルデバイスにルート CA をインストールする

Sophos Mobile を使って、モバイルデバイスに割り当てたポリシーにルート CA を追加します。

この例では、iOS および iPadOS デバイスのポリシーにルート CA を追加します。同様の手順で、Android のポリシーにルート証明書を追加することもできます。

  1. Sophos Mobile で、「ポリシー > iOS/iPadOS」に移動します。

    ポリシーメニューの iOS/iPadOS。

  2. ルート CA をインストールしたいデバイスに割り当てたポリシーをクリックします。

  3. ポリシーの編集」ページで「追加 > ルート証明書」をクリックします。

    ポリシー設定のルート証明書オプション。

  4. ルート証明書」ページで「ファイルのアップロード」をクリックし、証明書ファイルを選択します。

    ファイルのアップロードオプション。

  5. 適用」をクリックして、設定を保存します。

  6. 保存」をクリックしてポリシーを保存します。

    保存ボタン。

  7. ポリシーのリストで、ポリシーの横の下矢印をクリックし、「デバイスの更新」をクリックします。

    デバイスの更新」オプションがない場合は、デバイスが次に Sophos Mobile と同期したときに自動的に更新されます。

    デバイスの更新オプション。