証明書による運用

SICサーティフィケートの管理

SIC閉じた Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。の証明書は、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で管理します。

Security Gateway VPN証明書の管理

VPN証明書は、対応するネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。VPNページで管理されます。これらの証明書は、Check Point Security Gatewayまたはホストに対してIPsec VPN閉じた サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。ブレードを定義すると、自動的に発行されます。この定義は、対応するネットワーク・オブジェクトの「一般プロパティ」ウィンドウで指定します。

VPN証明書が失効した場合、新しい証明書が自動的に発行されます。

SmartConsoleでのユーザ証明書の管理について

内部データベースで管理しているユーザのユーザ証明書は、SmartConsoleで管理します。

詳細については、R81.10 Remote Access VPN Administration GuideUser Certificatesを参照してください。

証明書初期化に関するユーザへの通知

ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。管理ツールでは、証明書の初期化に関する通知をユーザに送信するように設定することができます。

メール通知を送信する場合。

  1. メニューペインで、Configure the CA をクリックします。

  2. Management Tool Mail Attributes の領域で、configure を行います。

    • メールサーバ

    • メール"From"アドレス

    • オプションの"To"アドレス。ユーザのアドレスがわからない場合に使用することができる。

      管理者は、このアドレスを使って、ユーザに代わって証明書を取得し、後で転送することができます。

  3. Applyをクリックします。。

ICA証明書ファイルの取得

cpca_client set_ca_services参照してください。

証明書を検索する

検索方法は2つあります。

  • ユーザ名、タイプ、ステータス、シリアル番号のみを含む基本的な検索方法

  • すべての検索フィールドを含む詳細検索(無制限の権限を持つ管理者のみが実行できます。)

証明書検索を行うには

Manage Certificates ページで、検索パラメータを入力し、Search をクリックします。

基本検索パラメータ

  • User Name - ユーザ名の文字列(デフォルトでは、このフィールドは空です。)

  • Type - これらのオプションを持つドロップダウン・リスト。

    • Any (デフォルト)

    • SIC

    • Gateway

    • Internal User または LDAP user

  • Status - これらのオプションを持つドロップダウン・リスト。

    • Any (デフォルト)

    • Pending

    • Valid

    • Revoked

    • Expired

    • Renewed (superseded)

  • Serial Number - 要求された証明書のシリアル番号(デフォルトではこのフィールドは空です。)

アドバンストサーチ属性

基本検索のパラメータに加え、以下のパラメータを指定します。

  • Sub DN - DN部分文字列(デフォルトでは、このフィールドは空です。)

  • Valid From - dd-mmm-yyyy [hh:mm:ss] (例: 15-Jan-2003) (デフォルトではこのフィールドは空)

  • Valid To - dd-mmm-yyyy [hh:mm:ss] (例: 14-Jan-2003 15:39:26) (デフォルトではこのフィールドは空白)

  • CRL Distribution Point - これらのオプションを持つドロップダウン・リスト。

    • Any (デフォルト)

    • No CRL Distribution Point (管理のアップグレード前に発行された証明書 - 旧CRLモード証明書の場合)

    また、リストには利用可能なすべてのCRL番号が表示されます。

検索結果

検索結果は、Search Results ペインに表示されます。このペインは、検索された証明書の属性の一覧表で構成されています。

  • (SN) Serial Number - 証明書のSN

  • User Name (CN) - 最初の等号("=")と次のカンマ(",")の間の文字列

  • DN

  • Status - 次のいずれか: Pending, Valid, Revoked, Expired, Renewed (superseded)

  • 証明書が有効な日から、その証明書が失効する日までの日付

- ステータスバーには、各検索の後に検索統計が表示されます。

証明書の詳細の表示と保存

検索結果に表示される証明書の詳細を表示したり、保存したりすることができます。

証明書の詳細を表示、保存するには

検索結果ペインでDNリンクをクリックします。

  • ステータスがpending の場合、証明書情報と登録キーが表示され、ログエントリが作成され、SmartConsole> Logs & Monitor > Logs に表示されます。

  • すでに証明書が作成されている場合は、ディスクに保存するか、直接開くことができます(オペレーティングシステムがファイル拡張子を認識している場合)。

証明書の削除と失効、および電子メールによる通知

  1. メニューペインで、Manage Certificates をクリックします。

  2. 設定した属性で証明書を検索する(証明書を検索する参照)。

    結果がSearch Resultsペインに表示されます。

  3. 必要に応じて証明書を選択し、これらのオプションのいずれかをクリックします。

    • Revoke Selected - 選択した証明書を失効させ、保留中の証明書を CA のデータベースから削除します。

    • Remove Selected - CA のデータベースと CR から選択した証明書を削除します。

      - 期限切れまたは保留中の証明書のみ削除することができます。

    • Mail to Selected - 選択されたすべてのpending の証明書に対してメールを送信する

      メールにはオーソリゼーションコードが記載されています。電子メールが定義されていないユーザへのメッセージは、デフォルトのアドレスに送信されます。詳細については、「証明書初期化に関するユーザへの通知する」を参照してください。

CAへの証明書要求の提出

CAへの証明書要求の提出方法は3通りあります。

  • 開始- 登録キーが CA 上で作成され、ユーザが証明書を作成する際に一度だけ使用する。

  • 生成- 証明書ファイルが作成され、証明書へのアクセス時に入力が必要なパスワードと関連付けられる

  • PKCS#10- CA が PKCS#10 の要求を受け取ると、証明書が作成され、要求者に引き渡されます。

  1. メニューペインで、Create Certificates > Initiate を選択します。

  2. User Name またはFull DN を入力するか、Advanced をクリックして、フォームに必要事項を入力してください。

    • Certificate Expiration Date - 日付を選択、または dd-mmm-yyyy [hh:mm:ss] のフォーマットで入力(初期値は作成日から2年後)

    • Registration Key Expiration Date - 日付を選択、または dd-mmm-yyyy [hh:mm:ss] のフォーマットで入力(初期値は作成日から2週間後)

  3. Goをクリックします。

    登録キーが作成され、Results ペインに表示されます。

    必要に応じて、Send mail to user をクリックして、登録キーを電子メールで送信してください。メールの文字数は1900字までです。

  4. 正しい登録キーを入力すると、証明書が使用できるようになります。

  1. メニューペインで、Create Certificates > Generate を選択します。

  2. User Name またはFull DN を入力するか、Advanced をクリックして、フォームに必要事項を入力してください。

    • Certificate Expiration Date - 日付を選択するか、dd-mm-yyyy [hh:mm:ss] の形式で入力します(初期値は作成日から2年間です)。

    • Registration Key Expiration Date - 日付を選択するか、dd-mm-yyyy [hh:mm:ss] の形式で入力します(初期値は作成日から2週間です)

  3. パスワードを入力します。

  4. Goをクリックします。

  5. P12ファイルを保存し、ユーザに提供する。

  1. メニューペインで、Create Certificates > PKCS#10 を選択します。

  2. 提供された暗号化されたBase-64バッファーのテキストをスペースに貼り付けます。

    また、Browse for a file to insert (IE only) をクリックすると、リクエストファイルをインポートすることができます。

  3. Create をクリックし、作成した証明書を保存する。

  4. 依頼元に証明書を提出する。

複数の証明書を同時に初期化する

証明書を一括して初期化することができます。

  1. 初期化するDNのリストをファイルとして作成します。

    :このファイルを作成するには、LDAPクエリによる方法とLDAP以外のクエリによる方法の2種類があります。

  2. メニューのペインで、Create Certificates > Advanced にアクセスします。

  3. 作成したファイルを参照する。

    • 登録キーをユーザに送信する場合は、以下を選択します。 Send registration keys via email

    • 初期化されたDNとその登録キーをリストアップしたファイルを受け取るには、次のように選択します。 Save results to file

      このファイルは、後でスクリプトで使用することができます。

  4. Initiate from fileをクリックします。

LDAP検索で開始されたファイルは、このような形式になっています。

  • 空白行またはファイルの先頭行以降の各行は、初期化されるDNを1つ表す

  • 行頭が"mail="の場合、文字列は使用中のメールに続く

    E-mailが指定されていない場合、ICAの「管理ツール Mail To Address」属性からE-mailアドレスが取得されます。

  • not_after 属性の行がある場合、次の行の値は証明書の有効期限となる。

    日付は現在からの秒数で表示されます。

  • isotp_validity 属性の行がある場合、次の行の値は登録キー有効期限となる。

    日付は現在からの秒数で表示されます。

以下は、LDAPサーチの出力例です。

not_after
86400
otp_validity
3600
uid=user_1,ou=People,o=intranet,dc=company,dc=com
mail=user_1@company.com
<blank_line>
...
uid=...

詳しくは、「LDAPとユーザディレクトリユーザディレクトリ閉じた LDAP およびその他の外部ユーザ管理サーバを Check Point 製品およびセキュリティソリューションと統合する管理サーバ上の Check Point Software Blade。」をご覧ください。

このフォーマットを使って、DN+メールをファイルに設定することで、簡単な(LDAPではない)クエリーを作成することが可能です。

<email address 1> space <DN 1>

... blank line as a separator ...

<email address 2> space <DN 2>