内部証明書の管理

[証明書]の[内部証明書]では、VPNの内部証明書の詳細を確認閉じた トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。できます。また、証明書を署名したり外部証明書の署名をする、内部CAで使われる証明書の確認や再初期化も可能です。

- このページには、[デバイス]タブと[VPN]タブからアクセスできます。

VPNの内部証明書を作成する際、内部CAで署名された証明書が使われると、インターネット接続のIPアドレス変更と共にCAの証明書を再初期化する必要があります。

頻繁な再初期化を回避するためにも、DDNS機能を使うことをお勧めします。[デバイス]>[DDNS]を参照してください。DDNSを設定すれば、証明書を再初期化する必要があるのは一度だけです。DDNS機能の設定で変更があれば、自動的に証明書が再初期化されます(デフォルト)。

証明書を再初期化するには

  1. [証明書の再初期化]をクリックします。

    [証明書の再初期化]ウィンドウが表示されます。

  2. ホスト/IPアドレスを入力します。

    通常、対象と思われるデバイスのホスト名(DDNSが設定されている場合)、または外部IPアドレスが提示されます。複数のインターネット接続が設定されている場合、負荷分散モードでは、アプライアンスのアクセス可能なIPアドレスを手動で入力できます。これは、リモート サイトから内部CAにアクセスして証明書の取り消しを確認する場合に使います。

  3. 内部 VPN 証明書の有効年数を選択します。デフォルトは3です。設定できる最大値は20です。

  4. 適用をクリックします

- 内部VPN証明書の有効期限はCA証明書の有効期限よりも後の日付にすることはできません。

内部CA証明書を置き換えるには

  1. [内部CA証明書の置き換え]をクリックします。

  2. [参照]をクリックし、秘密キーを含むCA証明書ファイルを選択します。

  3. 証明書名と秘密キーのパスワードを入力して、アップロードされたCAで証明書を署名できるようにします。

  4. ホスト/IPアドレスを入力します。

    通常、対象と思われるデバイスのホスト名(DDNSが設定されている場合)、または外部IPアドレスが提示されます。複数のインターネット接続が設定されている場合、負荷分散モードでは、アプライアンスのアクセス可能なIPアドレスを手動で入力できます。これは、リモート サイトから内部CAにアクセスして証明書の取り消しを確認する場合に使います。

  5. 適用をクリックします

内部CA証明書をエクスポートするには

[内部CA証明書のエクスポート]をクリックして、内部CA証明書をダウンロードします。

内部CAでリモート サイトの証明書リクエストを署名するには

  1. [リクエストの署名]をクリックします。

  2. [参照]をクリックして、リモート サイトで作成された署名リクエストのファイルとしてアップロードします。

    サードパーティ製アプライアンスの場合は、管理ガイドなどを参照して署名リクエストが作成される場所を確認してください。

    ファイルのパスは、アプライアンスでアクセスできる場所である必要があります。ファイル参照ウィンドウで[OK]をクリックすると、ファイルがアップロードされます。ファイルが正しくフォーマットされていれば、内部CAで署名されます。完了すれば、[ダウンロード]ボタンがクリック可能になります。

  3. [ダウンロード]をクリックします。

    署名済み証明書がブラウザからダウンロードされ、リモート サイトの証明書リストにインポートできるようになります。