署名 CA の生成、適用、およびインストール

署名認証局 (CA) は、生成またはインポートし、ディープパケットインスペクション（DPI）モードおよび Web プロキシモードで SSL / TLS インスペクションおよび HTTPS 復号化に使用できます。

安全な Web コンテンツを復号化した後、Sophos Firewall はこの CA によって署名された証明書を使用してコンテンツを再度暗号化します。信頼できない証明書のエラーを防ぐには、署名 CA をユーザーのエンドポイントにインストールする必要があります。

使用する署名 CA

以下のいずれかのオプションが使用できます。

• 外部 CA のインポート: 詳細は、CA の追加を参照してください。
• CSR を生成し、サードパーティ CA を使用して署名 CA を生成します。詳細は、TLS トラフィック用の下位 CA およびルート CA の追加を参照してください。

• 下位 CA を署名 CA として生成する: 「Active Directory 証明書サービス」を参照してください。

  注

  外部署名 CA を使用する場合は、下位署名 CA とそのルート CA を必ずインポートしてください。

• Sophos Firewall で生成した署名付き CA を使用する: 詳細は、エンドポイントへの CA の手動追加を参照してください。

詳細は、「HTTPS 復号化とスキャンに関する FAQ」を参照してください。

CA の適用とダウンロード

1. SSL / TLS インスペクション (DPI モード) 用の復号化設定を指定します。詳細は、復号化のプロファイルを追加を参照してください。
2. DPI および Web プロキシモード用に CA を適用してダウンロードします。詳細は、HTTPS 復号化の適用を参照してください。

ユーザーのエンドポイントに署名 CA をインストールする

CA は、ユーザーのエンドポイントの OS またはブラウザにインストールします。

• リモートインストール: 以下のいずれかのオプションが使用できます。

  • Active Directory グループポリシーを使用して Windows エンドポイント上にインストールします。「グループポリシーを使用した証明書の配布」を参照してください。
  • モバイルデバイス管理を使用したエンドポイント OS へのインストール: 詳細は、Sophos Mobile を使用してモバイルデバイスにルート CA をインストールするを参照してください。

• ユーザーは CA を手動でインストールします。署名 CA をユーザーにメールするか、イントラネットで使用できるようにします。

  ユーザーは、次の手順に従う必要があります。

  1. ファイルをダウンロードしてエンドポイントに保存します。
  2. 保存したファイルは次のようにインストールします。詳細は、エンドポイントへの CA の手動追加を参照してください。