信頼済みCAの管理
[VPN]>[証明書のトラストCA]ページでは、リモート サイトの証明書で使用するCAを追加して、VPNまたはWebUIの証明書を有効にできます。リモート サイトの証明書は、アプライアンスで信頼されている認証局(CA)で署名する必要があります。トラストCAには、中間CAとルートCAの両方が含まれます。
ここには、デフォルトでアプライアンスの証明書を作成するビルトインの内部CAも表示されます。リモート サイトの証明書の署名に使うこともできます。内部CAをエクスポートして、リモート サイトのトラストCAリストに追加することも可能です。
クラウド サービスがオンになっていてアプライアンスがクラウド サービス プロバイダで設定されている場合、クラウド サービス プロバイダの証明書がアプライアンスに自動的にダウンロードされます。クラウド サービス プロバイダCAは、クラウド サービスで設定されたコミュニティ メンバで使用します。クラウド サービスをオフにすると、クラウド サービス プロバイダ証明書は削除されます。
推奨設定
証明書ベースのサイト間VPNを1つのリモート サイトでのみ使用する場合は、各サイトの内部CAをエクスポートして、もう一方のサイトのトラストCAリストに追加することをお勧めします。
証明書ベースのサイト間VPNを複数のリモート サイトで使用する場合は(メッシュ設定で)、すべてのサイトで同じCAを使って、アプライアンス上の署名リクエストを作成する内部使用の証明書に署名することをお勧めします。また、同じCAをすべてのサイトのトラストCAリストに追加する必要があります。CAは、Verisignなどの外部CAサービス(有料)、またはこのアプライアンスの内部CAを使うことができます。外部のリクエストを署名するた方法は、以下のとおりです。
トラストCAを追加するには
-
[追加]をクリックします。
-
[参照]をクリックして、CAの識別子ファイル(.CRTファイル)をアップロードします。
-
CA名をお勧めしますが、別の名前を付けても構いません。
[CA詳細のプレビュー]をクリックして.CRTファイルの詳細情報を確認します。
-
適用をクリックします。CAがトラストCAリストに追加されます。
トラストCAの設定を編集するには
-
リストからCAを選択します。
-
[編集]をクリックします。
-
CRL(Certificate Revocation List)に関する必要なオプションを選択します。
-
HTTPサーバからCRLを取得 - CRLの取得にHTTPを使ってCAにアクセスできます。チェックをオフにすると、リモート サイトの証明書のCRL検証はアプライアンスでは行われません。
-
Security GatewayにCRLキャッシュを格納 - 新しく更新されたCRLを取得する間隔を選択します。
-
期限が切れたら新しいCRLを取得 - CRLの期限が切れたとき。
-
新しいCRLを次の間隔で取得(時間) - CRLの有効期限に関係なく間隔を指定。
-
-
-
[詳細]をクリックしてCAの詳細を表示できます。
-
適用をクリックします。
トラストCAを削除するには
-
リストからトラストCAを選択して、[削除]をクリックします。
-
確認メッセージでOKをクリックします。
内部CAまたは他のインポートしたCAをエクスポートするには
-
表から内部CAを選択します。
-
[エクスポート]をクリックします。
内部CAの識別子ファイルは、ブラウザからダウンロードされ、リモート サイトのトラストCAリストにインポートできるようになります。
-
必要であれば、リストに追加した他のトラストCAを選択して[エクスポート]をクリックし、エクスポートすることも可能です。
内部CAでリモート サイトの証明書リクエストを署名するには
-
[リクエストの署名]をクリックします。
-
[参照]をクリックして、リモート サイトで作成された署名リクエストのファイルとしてアップロードします。
サードパーティ製アプライアンスの場合は、管理ガイドなどを参照して署名リクエストが作成される場所を確認してください。
注 - ファイルのパスは、アプライアンスでアクセスできる場所である必要があります。ファイル参照ウィンドウで[OK]をクリックすると、ファイルがアップロードされます。ファイルが正しくフォーマットされていれば、内部CAで署名されます。完了すれば、[ダウンロード]ボタンがクリック可能になります。
-
[ダウンロード]をクリックします。
署名済み証明書がブラウザからダウンロードされ、リモート サイトの証明書リストにインポートできるようになります。
