プライベート HTTPS サーバーを保護する

より優れたエンドユーザー体験を提供するために、HTTPS プロキシでは、ネットワーク上のプライベート HTTPS サーバーに対する受信要求の証明書確認は行われません。コンテンツのインスペクションが行われた後に、クライアントのブラウザで構成された プロキシ サーバー の証明書が表示されます。

セキュリティを強化するために、 HTTPS サーバー証明書を署名するのに使用される CA 証明書 をインポートし、そしてそれに対応するプライベート キーを使用して HTTPS サーバー証明書をインポートすることを推奨します。HTTPS サーバ証明書に署名するために使用されているCA証明書が自動的に自らを信頼しない場合には、これを正しく機能させるために各信頼される証明書を順番にインポートする必要があります。すべての証明書をインポートした後、 HTTPS プロキシを設定します。

Fireware v12.2 以降では、受信 HTTPS プロキシ内のコンテンツ インスペクションのドメイン名ルールを構成する際には、プロキシ サーバー証明書を選択してそのドメインに使用するか、既定のプロキシ サーバー証明書を使用することができます。これにより、1 つの Firebox 背後で複数の異なるパブリック向けの web サーバーおよびアプリケーションをホストできるようになり、異なるアプリケーションがインバウンド HTTPS トラフィックで異なる証明書を使用することを許可します。

  1. ポリシーを追加する アイコン をクリックします。
    または、編集 > ポリシーの追加 の順に選択します。
    ポリシーを追加する ダイアログ ボックスが開きます。
  2. HTTPS-proxy を選択します。ポリシーを追加する をクリックします。
    ポリシー タブが選択された状態で、新規ポリシー プロパティ ダイアログ ボックスが表示されます。
  3. プロキシ アクション ドロップダウン リストから、HTTPS-Server.Standard を選択します。
  4. プロキシ アクション ドロップダウン リストの横で プロキシの表示/編集 ボタン をクリックします。
    コンテンツのインスペクション カテゴリが選択された状態で、HTTPS プロキシ アクション構成 ダイアログ ボックスが表示されます。
  5. インスペクション アクションを持つドメイン名ルールを構成します。インスペクションに使用する HTTP プロキシ アクションまたはコンテンツ アクションを選択し、このドメイン ルールに使用する証明書を選択する必要があります。これは既定のプロキシ サーバー証明書または別の証明書にすることができます。
    詳細については、HTTPS プロキシ:ドメイン名ルール を参照してください。
  6. OK をクリックして、 HTTPS プロキシ アクションの構成 ダイアログ ボックスを閉じます。
    事前に定義されたクローン、またはDVCPにより作成されたオブジェクト ダイアログ ボックスが表示されます。
  7. 名前 テキスト ボックスに、プロキシ アクションの名前を入力します。
    たとえば、HTTPS-Server-Inspect と入力します。
  8. OK をクリックします。
  9. OK をクリックして、新しいポリシー プロパティ ダイアログ ボックスを閉じます。
  10. ポリシーの追加 ダイアログ ボックスで、完了 をクリックします。
  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。

    ファイアウォール ポリシー ページが表示されます。
  2. ポリシーを追加する をクリックします。
    ファイアウォール ポリシーの追加 ページが表示されます。
  3. プロキシ ポリシーの種類を選択します。
  4. プロキシ ドロップダウン リストから、HTTPS-proxyHTTPS-Server.Standard プロキシ アクションを選択します。
  5. ポリシーを追加する をクリックします。
    追加ページは HTTPS プロキシのために表示されます。
  6. プロキシ アクション タブを選択します。
  7. プロキシ アクション ドロップダウン リストから、現在のプロキシ アクションをクローンする を選択します。
  8. 名前 テキスト ボックスに、このプロキシ アクションの名前を入力します。
    たとえば、HTTPS-Server-Inspect と入力します。
  9. インスペクション アクションを持つドメイン名ルールを構成します。インスペクションに使用する HTTP プロキシ アクションまたはコンテンツ アクションを選択し、このドメイン ルールに使用する証明書を選択する必要があります。これは既定のプロキシ サーバー証明書または別の証明書にすることができます。
    詳細については、HTTPS プロキシ:ドメイン名ルール を参照してください。
  10. 保存 をクリックします。

関連情報:

証明書について

HTTPS プロキシについて

HTTPS プロキシ コンテンツ インスペクションで証明書を使用する

HTTPS コンテンツ検査の問題をトラブルシューティングする

デバイス証明書を管理する (WSM)

デバイス証明書を管理する (Web UI)