証明書 CSR を作成する

Fireware Web UI または Firebox System Manager (FSM) を使って Firebox から証明書署名要求 (CSR) を作成することができます。自己署名証明書を作成するには、CSR に暗号化キーの一部を含め、その要求を認証機関 (CA) に送信します。CA は CSR を受信し、ID を確認後、証明書を発行します。

FSM または Management Server ソフトウェアがインストールされている場合、Firebox に CSR を作成するには、これらのプログラムを使うことができます。ほとんどの Windows Server オペレーティング システムにある OpenSSL または Microsoft CA Server など他のツールも使用できます。詳細については、次を参照してください:OpenSSL で CSR を作成する または Microsoft CA で証明書に署名する。また、Management Server に組み込まれた認証機関 (CA) Manager を使用して、新しく Mobile VPN 用の証明書を作成することもできます。

サードパーティ製ソフトウェアを使用して、CSR を生成することをお勧めします。これにより、新しいモデルにアップグレードした場合、別の Firebox に移行した場合、または Firebox を RMA 代替に戻した場合にも、別の Firebox で証明書を使用することができます。

組織内で CA がセットアップされていない場合は、プロキシ認証機関の証明書を除き、使用する CSR を署名する著名な CA を選択することをお勧めします。有名な CA が証明書を署名すると、多くのユーザーは組織の証明書を自動的に信頼します。Firebox が他の CA を信頼するように、追加の証明書をインポートすることもできます。

プロキシ認証機関の証明書および CSR

HTTPS プロキシ コンテンツ インスペクション機能で使用するプロキシ認証機関証明書を作成するには、他の証明書を再署名できる CA 証明書を作成する必要があります。作成した CSR が著名な CA によって署名されている場合は、この証明書をコンテンツ インスペクション用の CA 証明書の再署名として使用することはできません。Firebox の既定のプロキシ認証機関証明書、または独自の内部 CA によって署名された証明書を使用することをお勧めします。たとえば、貴社の組織が Microsoft Active Directory 証明書サービスを使用する場合それを使って証明書に署名し、組織内のクライアントが信用できるようにすることができます。詳細については、HTTPS プロキシ コンテンツ インスペクションで証明書を使用する を参照してください。

  1. システム > 証明書 の順に選択します。
  2. CSR の作成 をクリックします。
    CSR Wizard が開始します。

CSR Wizard のスクリーン ショット - 冒頭ページ

  1. 次へ をクリックします。
  2. 完了した証明書の目的を選択します。

CSR Wizard のスクリーン ショット - 証明書の機能の選択ページ

  1. HTTPS プロキシで検査したコンテンツを再暗号化するために証明書が使用される場合は、プロキシ認証機関 を選択します。
  2. HTTPS プロキシで保護された Web サーバー をもう一度暗号化するために証明書を使用する場合は、プロキシ サーバー を選択します。
  3. VPN、 Firebox、または Management Server 認証を含む他すべての使用については、一般的な使用 を選択します。
  4. 次へ をクリックします。
  5. 次の証明書要求詳細を入力します:
  • 名前 (CN) — CN (一般名) は、host.example.com などの保護したいデバイスの完全修飾ドメイン名です。
  • 部門名 (OU) — デバイスが所属する OU (組織ユニット) を入力します。たとえば IT や営業と入力します。
  • 企業名 (O) — デバイスが所属する企業名を入力します。
  • 都市/場所 (L) — デバイスが所在する都市や所在地を入力します。
  • 州/地方 (ST) — デバイスが所在する 2 文字の州または地方コードを入力します。
  • 国 (C) — デバイスが所在する 2 文字の国コードを入力します。

CSR Wizard のスクリーン ショット - 証明書の詳細ページ

  1. 次へ をクリックします。
    前の画面で入力した情報に基づいて、ウィザードが件名を作成します。
  2. 適切なドメイン情報を入力します:
  • 件名 — 件名は、前のステップからの情報を使って自動的に入力されます。
  • DNS 名host.example.com のような、セキュアにしたいデバイスの DNS 名。
  • IP アドレス — セキュアにしたいデバイスの IP アドレス。
  • ユーザー ドメイン名 — デバイス ドメインの管理者電子メール アドレス。

CSR Wizard のスクリーン ショット - ドメイン情報ページ

  1. 次へ をクリックします。
  2. 暗号化、キーの長さ、およびキー用途を選択します。既定では、証明書では RSA 暗号化、3072 ビットのキー長、およびキーの暗号化と署名の両方が使用されます。

HTTPS プロキシ認証機関およびHTTPS プロキシ サーバー 証明書では、キーのオプションがありません。

CSR Wizard のスクリーン ショット - キーの長さと用途ページ

  1. 次へ をクリックします。
  2. 生成された CSR が表示されます。

CSR Wizard のスクリーン ショット - 完成したページ

Firebox で使用する前に、署名のための証明書の認証機関 (CA) にこの CSR を送信する必要があります。

HTTPS コンテンツ インスペクションのプロキシ認証機関証明書の場合は、パブリック CA プロバイダーは他の証明書に署名する権限がある CA 証明書を提供しないため、パブリック CA を使用することはできません。組織内の内部 CA を使用することをお勧めします。

終了した証明書をインポートした場合は、まず 一般的な使用 カテゴリで、新しい証明書を署名するために使用する CA 証明書をインポートする必要があります。

  1. 証明書をインポートするには 完了してインポート をクリックします。
    証明書のインポート ダイアログ ボックスが開きます。
  2. 完了 をクリックしてウィザードを終了します。
  1. Firebox の Firebox System Manager を起動する
  2. 表示 > 証明書 の順に選択します。
  3. CSR の作成 をクリックします。
    CSR Wizard が開始します。

CSR Wizard のスクリーン ショット - 冒頭ページ

  1. 次へ をクリックします。
  2. 完了した証明書の目的を選択します。

CSR Wizard のスクリーン ショット - 証明書の目的ページ

  1. HTTPS プロキシで検査したコンテンツを再暗号化するために証明書が使用される場合は、プロキシ認証機関 を選択します。
  2. HTTPS プロキシで保護された Web サーバー をもう一度暗号化するために証明書を使用する場合は、プロキシ サーバー を選択します。
  3. VPN、 Firebox、または Management Server 認証を含む他すべての使用については、一般的な使用 を選択します。
  1. 次へ をクリックします。
  2. 次の証明書要求詳細を入力します:
  • 名前 (CN) — CN (一般名) は、host.example.com などの保護したいデバイスの完全修飾ドメイン名です。
  • 部門名 (OU) — デバイスが所属する OU (組織ユニット) を入力します。たとえば IT や営業と入力します。
  • 企業名 (O) — デバイスが所属する企業名を入力します。
  • 都市/場所 (L) — デバイスが所在する都市や所在地を入力します。
  • 州/地方 (ST) — デバイスが所在する 2 文字の州または地方コードを入力します。
  • 国 (C) — デバイスが所在する 2 文字の国コードを入力します。

Certificate Request Wizard のスクリーンショット

  1. 次へ をクリックします。
    前のページで入力した情報に基づいて、ウィザードが件名を作成します。
  2. 適切なドメイン情報を入力します:
  • 件名 — 件名は、前のステップからの情報を使って自動的に入力されます。
  • DNS 名host.example.com のような、セキュアにしたいデバイスの完全修飾ドメイン名。
  • IP アドレス — セキュアにしたいデバイスの IP アドレス。
  • ユーザー ドメイン名 — デバイス ドメインの管理者電子メール アドレス。

Certificate Request Wizard のスクリーンショット

  1. 次へ をクリックします。
  2. 暗号化、キーの長さ、およびキー用途を選択します。既定では、証明書では RSA 暗号化、3072 ビットのキー長、およびキーの暗号化と署名の両方が使用されます。次へ をクリックします。

HTTPS プロキシ認証機関およびHTTPS プロキシ サーバー 証明書では、キーのオプションがありません。

Certificate Request Wizard が表示され、アルゴリズム、キー長およびキーの使用スクリーンを指定します。

  1. 次へ をクリックします。
  2. デバイス管理者権限 (読み取り/書き取り) でユーザー アカウントの認証情報を入力します。
  3. OK をクリックし、生成されたた CSR を確認します。

終了した Certificate Request Wizard のスクリーンショット

  1. コピー をクリックして、証明書署名要求を Windows のクリップボードにコピーします。

Firebox で使用する前に、署名を受けるために証明書認証機関 (CA) にこの CSR を送信する必要があります。

HTTPS コンテンツ インスペクションのプロキシ認証機関証明書の場合は、パブリック CA プロバイダーは他の証明書に署名する権限がある CA 証明書を提供しないため、パブリック CA を使用することはできません。組織内の内部 CA を使用することをお勧めします。

終了した証明書をインポートした場合は、まず 一般的な使用 カテゴリで、新しい証明書を署名するために使用する CA 証明書をインポートする必要があります。

  1. 次へ をクリックします。
  2. ウィザードの最後のページでは、次のことを行うことができます。
  3. 証明書をインポートするために、今インポートする をクリックします。
    証明書のインポート ダイアログ ボックスが開きます。
    このダイアログ ボックスについての詳細は、次を参照してください:デバイス証明書を管理する (WSM)
  4. 完了 をクリックしてウィザードを終了します。

CA Manager に接続するには:

  1. WatchGuard System Manager を起動して、Management Server に接続します。
    接続するには、構成パスフレーズを入力する必要があります。
  2. Management Server の デバイス管理 タブをクリックして選択します。
  3. 認証機関アイコン をクリックします。
    または、ツール > CA Manager の順に選択します。
    または、直接 WatchGuard WebCenter に https://<Management Server の IP アドレス>:4130 から接続します。

新しい証明書を作成するには:

  1. CA Manager セクションから、生成 を選択します。
    新しい証明書ページを生成が表示されます。

新しい証明書ページを生成のスクリーンショット

  1. サブジェクトの一般名、パスワードおよび証明書の有効期限を入力します。
    • Firebox 認証ユーザーの場合、一般名は Firebox (通常、Firebox の IP アドレス) の識別情報と一致する必要があります。
    • 汎用的な証明書の場合、一般名はユーザー名です。
  2. 証明書が生成された後に、証明書をダウンロードするには、証明書のダウンロードチェックボックスをオンにします。
  3. 生成 をクリックします。

証明書署名要求を作成するために Firebox System Manager を使用すると、Firebox ではプライベート キーが作成されます。デバイスからこのプライベート キーをエクスポートすることはできません。別のデバイスにサーバー証明書を使用したい場合、証明書をインポートするためにこのプライベート キーが必要になります。証明書署名要求とプライベート キーを作成するための別の方法については、次を参照してください:OpenSSL で CSR を作成する

関連情報:

証明書について

Management Server で証明書を管理する

WatchGuard WebCenter に接続する