デバイス証明書を管理する (Web UI)
- 現在の Firebox 証明書とそのプロパティのリストを参照する
- 信頼済み CA 証明書を更新する
- Firebox から証明書を削除する
- 証明書または証明書失効リスト (CRL) をインポートする
- 再署名または配布のために証明書をエクスポートする
- 証明書署名要求 (CSR) を作成する
- Firebox Web サーバー証明書を構成する
FireCluster メンバーの証明書をインポート、更新、または削除すると、その変更が自動的に他の FireCluster メンバーと同期されます。FireCluster メンバーのために別々に証明書をインポートする必要はありません。
パブリック CA 証明書を削除しないことを強くお勧めします。プロキシの信頼済み CA 証明書を削除すると、一部のセキュリティ サービスが機能しなくなる可能性があります。
証明書を表示する
証明書の現在のリストを表示し管理するには、システム > 証明書 の順に選択します。
ドロップダウン リストを使って、証明書の種類に基づいて表示内容をフィルタリングします。
証明書 のリストは以下の項目を含みます。
- 証明書の状態
- 証明書のインポートの日付
- 証明書の種類
- 証明書で使用されるアルゴリズム (EC、RSA または DSS)
- 証明書のサブジェクト名または識別子
証明書を表示するには、証明書を選択してから 詳細 をクリックします。
証明書ステータスについて
書名済み — 証明書は有効で使用可能です。
取消済み — 証明書は、発行元の認証機関 (CA) により有効期限前に証明書失効リスト (CRL) を通じて取り消されています。
期限切れ — 証明書は期限切れになっています。
まだ有効ではない — 証明書の発効日は将来の日付で、Firebox の日時と一致していません。
保留中 — 証明書署名要求が作成済みです。この証明書を使用できるようにするには、一致する書名済み証明書をアップロードする必要があります。
証明書を削除する
証明書を削除すると、認証に使用できなくなります。プロキシに既定で使用される自己署名証明書など、自動的に作成された証明書を削除すると、Firebox は次回の起動時に同じ目的の新しい自己署名証明書を作成します。別の証明書をインポートした場合、デバイスは新しい自己署名証明を作成しません。
プロキシ認証機関の証明書を削除してはならず、Firebox を証明書がない状態にすることはできません。デバイスが再起動すると、Firebox は不足している証明書を既定の証明書で自動的に置き換えます。
プロキシの信頼済み CA 証明書を削除すると、一部のセキュリティ サービスが機能しなくなる可能性があります。
証明書が Branch Office VPN (BOVPN) IPSec トンネル構成で使用されている場合は、証明書を Firebox から削除できません。
デバイスから証明書を削除するには、以下の手順を実行します:
- システム > 証明書 の順に選択します。
- 証明書 ダイアログ ボックスで 証明書 を選択します。
- 削除 をクリックします。
証明書の削除 ダイアログ ボックスが開きます。 - OK をクリックします。
証明書は削除されます。
証明書をエクスポートする
信頼済み CA による再署名またはネットワーク上のクライアントへの配布のために証明書をエクスポートすることができます。証明書がPEM 形式で保存されます。
- システム > 証明書 の順に選択します。
- 証明書を選択し、エクスポート をクリックします。
信頼済み CA 証明書を更新する
Firebox に格納されている信頼済み CA 証明書の新しいバージョンを自動的に取得し、自動的に新しい証明書をインストールすることができます。この更新は、Firebox 上のすべての信頼済み CA 証明書が最新バージョンであることを確認します。期限切れの証明書が更新され、新しい信頼済み CA 証明書は Firebox に追加されます。更新された証明書は安全な WatchGuard サーバーからダウンロードされます。Firebox は、更新を48時間ごとにチェックします。
- システム > 証明書 の順に選択します。
- CA 証明書の自動更新を有効にする チェックボックスを選択します。
- 信頼済み CA 証明書を更新する をクリックして信頼済み CA 証明書を直ちに更新します。次のオプションから選択できます。
- 最新バージョンの信頼済み CA 証明書をダウンロードする
- 追加の信頼済み CA 証明書 (Base64 PEM) を追加する
証明書をインポートする
Windows のクリップボードまたはローカル コンピュータのファイルから、証明書をインポートできます。証明書は、Base64 PEM エンコード形式または PFX ファイル形式である必要があります。
プロキシ コンテンツ インスペクション機能で使用する証明書をインポートする前に、一般的な使用 タイプの信用の連鎖にある以前の各証明書をインポートする必要があります。ルート CA 証明書から開始し、信用の連鎖の最終証明書まで、その順に従って進みます。
その他の証明書を検証するために使用する Firebox の CA 証明書をインポートして信用の連鎖を作成するには、CA 証明書をインポートし、プライベート キーを含まない場合、一般的な使用 カテゴリを必ず選択します。
PFX ファイルについて
PFX 証明書バンドルはすべての必要な証明書とプライベート キーを含み、単一のファイルとしてアップロードされます。
HTTPS コンテンツ インスペクションのために PFX バンドルを使用するには、次の 2 つの PFX ファイルが必要です:
- 最初の プロキシ認証機関 PFXファイルは、プロキシ認証機関の証明書、プライベート キーを持つプロキシ認証機関の証明書を発行する ルート CA 証明書を持つ必要があります。
- 2 番目のプロキシ サーバー PFX ファイルには、プロキシ サーバー証明書を発行したルート CA 証明書、およびプライベート キーを含むプロキシ サーバー証明書が必要です。
証明書機能について
一般的な使用 — ルートまたは中間 CA 証明書、VPN トンネル、Web サーバー、またはその他の証明書の場合はこのオプションを選択します。
プロキシ認証機関(送信 SSL/TLS コンテンツ インスペクション用の CA 証明書の再署名) — 証明書が、外部ネットワークの Web サーバーから、信頼済みまたは任意ネットワーク上のユーザーによって要求された Web トラフィックを管理するプロキシ ポリシー用である場合は、このオプションを選択します。この場合インポートする証明書が CA 証明書である必要があります。プロキシでトラフィックを再暗号化するのに使用される CA 証明書をインポートする前に、この証明書を署名するのに使用する CA 証明書は 一般的な使用 カテゴリでインポートされたことを確認します。
プロキシ サーバー(受信コンテンツ インスペクションのサーバー証明書) — 証明書が、Firebox によって保護されている Web サーバーから、外部ネットワーク上のユーザーによって要求された Web トラフィックを管理するプロキシ ポリシー用である場合は、このオプションを選択します。Web サーバーからのトラフィックを再暗号化するのに使用されるプロキシ サーバー証明書をインポートする前に、この証明書を署名するのに使用する CA 証明書は 一般的な使用 カテゴリでインポートされたことを確認します。
詳細については、証明書について、HTTPS プロキシ コンテンツ インスペクションで証明書を使用する、および SMTP プロキシ:STARTTLS 暗号化 を参照してください。
Fireware Web UI を使って証明書をインポートする
- システム > 証明書 の順に選択します。
証明書ページが開きます。 - 証明書のインポート をクリックします。
Import Certificate Wizard が開きます。
- 次へ をクリックします。
- 証明書の機能 ページで、証明書の機能に意図された機能を選択します。
-
プロキシ サーバー を選択した場合:
- これを既定のプロキシ サーバー証明書にするには、既定のプロキシ サーバーとしてインポートする チェックボックスを選択します。これにより、証明書の表示名を指定するオプションが削除されます。
- 証明書の表示名 テキスト ボックスに証明書の名前を入力し、この証明書を特定するのに役立つ名前を指定することができます。証明書の名前が既に存在し、現在の証明書を上書きしたい場合は、証明書が既に存在する場合に上書きする チェックボックスを選択します。
- 次へ をクリックします。
- インポートの種類 ページで、Base64 (PEM) 証明書 または PFX ファイル タイプを選択します。
- 証明書の種類 として Base64 (PEM) 証明書 を選択した場合、ファイルから証明書をロードするか、またはテキスト ボックスに PEM 証明書のコンテンツをコピーして貼付けすることができます。証明書がプライベート キーを含めれている場合は、パスワードを入力してキーを暗号化解除します。
PFX ファイル を選択した場合は、PFX ファイル パスワード を入力し、参照 をクリックしてアップロードする PFX ファイルを選択します。
- 次へ をクリックします。
証明書が Firebox に追加されます。
- 完了 をクリックします。
- 証明書 CSR を作成する で説明されている証明書署名要求のステップに従います。
- ウィザードの最後のページで、終了およびインポート をクリックします。
証明書のインポート ページが表示されます。 - 証明書の機能に一致するオプションを選択します。
-
プロキシ サーバー を選択した場合:
- これを既定のプロキシ サーバー証明書にするには、既定のプロキシ サーバーとしてインポートする チェックボックスを選択します。これにより、証明書の表示名を指定するオプションが削除されます。
- 証明書の表示名 テキスト ボックスに証明書の名前を入力し、この証明書を特定するのに役立つ名前を指定することができます。証明書の名前が既に存在し、現在の証明書を上書きしたい場合は、証明書が既に存在する場合に上書きする チェックボックスを選択します。
-
証明書の種類ドロップダウン リストから、Base64 (PEM) 証明書 または PFX ファイル タイプを選択します。
Base64 (PEM) 証明書 を選択した場合、ファイルから証明書をロードすることができ、テキスト ボックスに PEM 証明書コンテンツをコピーして貼付けることができます。証明書がプライベート キーを含めれている場合は、パスワードを入力してキーを暗号化解除します。
PFX ファイル を選択した場合は、PFX ファイル パスワード を入力し、ファイルの選択 をクリックしてアップロードする PFX ファイルを選択します。
- OK をクリックします。
証明書が Firebox に追加されます。
CRL のインポート
ローカル コンピュータから以前にダウンロードした証明書失効リスト (CRL) をインポートできます。CRL は VPN認証に使用される証明書のステータスを確認する場合のみに使用します。証明書は、PEM (Base64) エンコード形式である必要があります。
- システム > 証明書 の順に選択します。
- CRL のインポート をクリックします。
- 参照 をクリックして、ファイルを検索します。
- インポート をクリックします。
CRL のインポート ダイアログ ボックスが開きます。 - OK をクリックします。
指定した CRL は、デバイス上で CRL に追加されます。
証明書の署名要求 (CSR) を作成します。
Fireware Web UI または Firebox System Manager (FSM) を使って Firebox から証明書署名要求 (CSR) を作成することができます。自己署名証明書を作成するには、証明書の署名要求 (CSR) に一部の暗号化キーを含め、その要求を CA (認証機関) に送信します。CA は CSR を受信し、ID を確認後、証明書を発行します。
証明書署名要求の作成方法の詳細については、次を参照してください:証明書 CSR を作成する。
Firebox Web サーバー証明書を構成する
Firebox は、管理接続などの Firebox へのユーザー接続のために既定の Web サーバー証明書を使用します。
ユーザーが Web ブラウザを使用して Firebox に接続すると、多くの場合ユーザーにセキュリティ警告が表示されます。この警告は、既定の証明書が信頼されていない、または認証に使用される IP アドレスまたはドメイン名に一致しないという理由により発生します。Firebox Web サーバー証明書を構成するには、以下の手順を実行します:Firebox 認証用の Web サーバー証明書を構成する。
また、ユーザー認証のための IP アドレスまたはドメイン名と一致する、第三者または自己署名の証明書を使用することもできます。セキュリティ警告を防ぐには、名クライアント ブラウザまたはデバイスに証明書をインポートする必要があります。第三者の Web サーバー証明書をインポートしインストールする方法の詳細については、次を参照してください:サードパーティ Web サーバー証明書をインポートおよびインストールする。