コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=certificates-CA-add

CA の追加

Sophos Firewall に外部の証明機関 (CA) をアップロードできます。

これらの CA を外部で生成するには、ファイアウォールの証明書署名要求 (CSR) または外部 CSR を使用できます。

SSL/TLS や HTTPS 復号化など、署名を想定した CA 証明書に Extended Key Usage section がある場合は、TLS Web Server Authentication フラグが必要です。

CA をインポートするには、以下の手順に従います。

  1. 証明書 >証明機関」に移動し、「追加」をクリックします。

  2. CA 証明書をアップロードするか、証明書データを貼り付けます。

    証明書の形式は、自動的に検出されます。.pem.der.cer の形式の X.509 証明書を使用できます。

  3. ファイアウォールは、一致する CSR が存在するかどうかを検出します。以下のような処理が行われます。

    CA が既存の CSR と一致する場合は、CA の目的として「署名と検証」が自動的に選択されます。

    一致する CSR の名前が CA に使用されます。

    1. 必要に応じて、自動的に割り当てられた名前を変更できます。
    2. 保存」をクリックします。

    Sophos Firewall で生成された CSR に一致しない CA をアップロードしようとすると、追加のオプションが表示されます。

    1. CA の目的を選択します。

      • 検証のみ
      • 署名と検証: 秘密鍵をアップロードし、秘密鍵のパスワードを入力して暗号化します。パスワードは 30文字以下にしてください。

      警告

      再署名に使用する CA を「検証のみ」に変更しないでください。SSL/TLS トラフィックを復号化後に再暗号化するには、CA の再署名が必要です。

      以下の設定では、「署名と検証」に設定した CA のみを使用してください。

      • ルールとポリシー > SSL/TLS インスペクションルール > SSL/TLS インスペクションの設定
      • プロファイル > 復号化のプロファイル
      • HTTPS 復号化とスキャンWeb > 全般設定

    2. 名前を入力します。

    3. 保存」をクリックします。