信頼済みCAの管理
[VPN]>[証明書 信頼済みCA]ページでは、リモート サイトの証明書で使用するCAを追加して、VPNまたはWebUIの証明書を有効にできます。リモート サイトの証明書は、アプライアンスで信頼されている認証局(CA)で署名する必要があります。トラストCAには、中間CAとルートCAの両方が含まれます。
ここには、デフォルトでアプライアンスの証明書を作成するビルトインの内部CAも表示されます。リモート サイトの証明書の署名に使うこともできます。内部CAをエクスポートして、リモート サイトのトラストCAリストに追加することも可能です。
クラウド サービスがオンになっていてアプライアンスがクラウド サービス プロバイダで設定されている場合、クラウド サービス プロバイダの証明書がアプライアンスに自動的にダウンロードされます。クラウド サービス プロバイダCAは、クラウド サービスで設定されたコミュニティ メンバで使用します。
|
注 - クラウドサービスをオフにすると、クラウドサービスプロバイダCAは削除されます。 |
推奨構成
証明書ベースのサイト間VPNを1つのリモート サイトでのみ使用する場合は、各サイトの内部CAをエクスポートして、もう一方のサイトの信頼済みのCAリストに追加することをお勧めします。
証明書ベースのサイト間VPNを複数のリモート サイトで使用する場合は(メッシュ設定で)、すべてのサイトで同じCAを使って、アプライアンス上の署名リクエストを作成する内部使用の証明書に署名することをお勧めします。また、同じCAをすべてのサイトのトラストCAリストに追加する必要があります。CAは、Verisignなどの外部CAサービス(有料)、またはこのアプライアンスの内部CAを使うことができます。外部のリクエストを署名するた方法は、以下のとおりです。
トラストCAを追加するには
-
[追加]をクリックします。。
-
[参照]をクリックして、CAの識別子ファイル(.CRTファイル)をアップロードします。
-
CA名が推奨されていますが、必要に応じて別の名前を入力することもできます。
.CRTファイルの詳細情報を見るには、CAの詳細プレビューをクリックしてください。
-
[適用]をクリックします。CAがトラストCAリストに追加されます。
トラストCAの設定を編集するには
-
リストからCAを選択します。
-
[編集]をクリックします。。
-
CRL(Certificate Revocation List)に関する必要なオプションを選択します。
-
HTTP サーバから CRL を取得- HTTP を使用して CA にアクセスし、CRL を取得することができます。チェックをオフにすると、リモート サイトの証明書のCRL検証はアプライアンスでは行われません。
-
Cache CRL on Security ゲートウェイ- 更新された新しいCRLを取得する頻度を選択します。
-
期限が切れたら新しいCRLを取得 - CRLの期限が切れたとき。
-
新しいCRLを次の間隔で取得(時間) - CRLの有効期限に関係なく間隔を指定。
-
-
-
詳細をクリックすると、CAの詳細が表示されます。
-
[適用]をクリックします。
トラストCAを削除するには
-
リストから信頼できる CA を選択し、削除をクリックします。
-
確認
トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。メッセージでOKをクリックします。
内部CAまたは他のインポートしたCAをエクスポートするには
-
表から内部CAを選択します。
-
[エクスポート]をクリックします。。
内部CAの識別子ファイルは、ブラウザからダウンロードされ、リモート サイトのトラストCAリストにインポートできるようになります。
-
必要であれば、リストに追加した他のトラストCAを選択して[エクスポート]をクリックし、エクスポートすることも可能です。
内部CAでリモート サイトの証明書リクエストを署名するには
-
[リクエストの署名]をクリックします。
-
[参照]をクリックして、リモート サイトで作成された署名リクエストのファイルとしてアップロードします。
サード・パーティのアプライアンスの場合は、管理ガイドなどを参照して署名リクエストが作成される場所を確認してください。
注 - ファイルのパスは、アプライアンスでアクセスできる場所である必要があります。ファイル参照ウィンドウで[OK]をクリックすると、ファイルがアップロードされます。ファイルが正しくフォーマットされていれば、内部CAで署名されます。完了すれば、[ダウンロード]ボタンがクリック可能になります。
-
[ダウンロード]をクリックします。
署名済み証明書がブラウザからダウンロードされ、リモート・サイトの証明書リストにインポートできるようになります。