クライアント デバイスに証明書をインポートする

HTTPS コンテンツインスペクションや認証に証明書を使用するように Firebox を構成した場合、Web ブラウザのセキュリティ警告を防止するためにネットワーク内の各クライアント デバイスにその証明書をインポートする必要があります。個々のクライアントのデバイスで、このインポートを実行することができます。または、 Microsoft Active Directory でグループ ポリシーを使用して、自動的にすべてのクライアントの証明書をインストールすることができます。

HTTPS プロキシ コンテンツ インスペクションでは、デバイス上の既定のプロキシ権限認証機関 (CA) 証明書を使用できます。組織が既に、信頼できる CA によりパブリック キー インフラストラクチャ (PKI) を構築済みの場合は、内部 CA によって署名された証明書をデバイスにインポートできます。

コンテンツインスペクションと証明書の詳細については、次を参照してください:HTTPS プロキシ コンテンツ インスペクションで証明書を使用する

Firebox から証明書をエクスポートする方法については、次を参照してください:Firebox から証明書をエクスポートする

デバイスから証明書をエクスポートすると、証明書は PEM 形式で保存されます。いくつかの証明書の配布方法について、インポートに好ましい証明書の形式は DER 形式です。証明書の形式を変換する方法については、次を参照してください:証明書フォーマットを変換する

各クライアントのオペレーティングシステムと Web ブラウザは、証明書をインポートするのに様々な方法があります。最も一般的なオペレーティングシステムと Web ブラウザの手順については、次のセクションで説明されています。他のオペレーティングシステムとブラウザについては、製造元のマニュアルを参照します。

WatchGuard は、WatchGuard 製品が他の会社で製造された製品で動作できるように構成するために、顧客が役立てることのできる相互運用性に関する指示を提供します。WatchGuard 以外の製品を構成する方法の詳細や技術サポートについては、その製品のドキュメントおよびサポート リソースを参照してください。

Firebox の証明書ポータルから証明書をインポートする

クライアントは、Firebox の証明書ポータルからプロキシ認証機関証明書をダウンロードできます。

証明書をダウンロードしてインストールするには、以下の手順を実行します。

  1. Web ブラウザを開き、http://<Firebox IP アドレス>:4126/certportal にアクセスします。
  2. ダウンロード をクリックします。

    証明書がお使いのコンピュータにダウンロードされます。
  3. ファイルがダウンロードされたら、ファイルをダブルクリックし、指示に従って証明書をインストールします。このプロセスで、証明書の場所として信頼されたルート証明認証機関場所を指定する必要があります。

詳細については、証明書ポータル を参照してください。

Internet Explorer で Windows クライアントに証明書をインポートする

Internet Explorer で信頼されたルート認証機関に証明書をインストールすると、Windows 証明書ストアを使用する他のプログラムまたはサービスを含むシステム全体が有効になり、現在のユーザーが証明書を使用できるようになります。たとえば、Windows および Windows 更新用の Google Chrome ブラウザは、インストールされた証明書を使用します。

証明書が DER 形式である場合、 .der 、 .cer 、または .crt の拡張子をもつファイル名の書式を設定することができます。システムの証明書インストーラを起動するには、証明書ファイルをダブルクリックすることのできるユーザーにこの証明書を配布することができます。

Internet Explorer で証明書を手動でインポートするには次の手順を実行します:

  1. ツール を選択します。
  2. インターネットのオプション を選択します。
  3. コンテンツ タブを選択します。
  4. 証明書 をクリックします。
  5. インポート をクリックし、証明書をインポートするために証明書インポートウィザードの手順を実行します。このプロセスで、証明書の場所として信頼されたルート証明認証機関を指定する必要があります。

Certificate Import Wizard を使って証明書をインポートすると、その証明書は現在のユーザーのストアにインポートされます。証明書をローカル マシンのストアにインポートし、すべてのユーザーがその証明書を使用できるようにするには、証明書ファイルをダブルクリックしてローカル マシンのストアにインポートする必要があります。

Active Directory グループポリシーで Windows クライアントに証明書をインポートする

Active Directory Server からグループポリシーオブジェクトを介して、Windows クライアントのデバイスに証明書を展開することもできます。これは、必要な証明書を使用して自動的に自分のドメイン上のすべての Windows クライアントを更新することを可能にします。

Windows Server 2012、2012 R2、および 2016 の場合は、グループ ポリシーを使用して、クライアント コンピュータに証明書を配布する を参照してください。

詳細については、お使いの Microsoft オペレーティング システムのマニュアルを参照してください。

Mozilla Firefox で証明書をインポートする

Firebox を使って証明書を手動でインポートするか、Windows Certificate Store の証明書を自動的に信頼するよう Firebox を構成することができます。

手動のインポート

Mozilla Firefox で証明書を手動でインポートするには、次の手順を実行します:

  1. オプション を選択します。
  2. 詳細 タブを選択します。
  3. 証明書 タブを選択します。
  4. 証明書を表示する をクリックします。
  5. 認証機関 タブを選択します。
  6. インポート をクリックします。
  7. 証明書ファイルを参照し選択して、開く をクリックします。
  8. 証明書のダウンロード ダイアログ ボックスで、Web サイトを認識するこの CA を信頼する チェックボックスを選択します。
  9. OK をクリックします。
  10. Firefox を再起動します。

Windows Certificate Store を使用する

証明書の実装をより簡単にするため、Windows Certificate Store を使用できるように Mozilla Firefox バージョン 49 以降を構成することもできます。例えば、グループ ポリシーを通じてWindows Certificate Store に証明書を実装する場合、Firefox はその証明書を自動的に信頼します。Firefox での Windows Certificate Store のサポートの詳細については、Mozilla Wiki を参照してください。

Windows Certificate Store を使用できるよう単一のコンピュータで Firefox を構成するには、次の手順を実行します:

  1. Firefox のアドレス バーに about:config と入力します。
  2. 警告が表示された場合は、クリックして続行します。
    詳細設定のリストが開きます。
  3. スクロールダウンして security.enterprise_roots.enabled の詳細設定を探し、それが True に設定されていることを確認します。
  4. 詳細設定 security.enterprise_roots.enabled が存在しない場合は、以下の手順に従ってこれを追加する必要があります:
    1. 詳細設定リストの任意の場所を右クリックして 新規 > ブール を選択します。
      新規のブール値 ダイアログ ボックスが開きます。
    2. security.enterprise_roots.enabled と入力し、OK をクリックします。
      ブール値の入力 ダイアログ ボックスが開きます。
    3. True を選択し、OK をクリックします。
  5. 新しい設定を有効化するには、詳細設定をオフ、そしてオンに切り換えるか、Firebox を再起動します。

Windows Certificate Store を使用できるよう複数のコンピュータで Firefox を構成するには、次の手順を実行します:

  1. 次のコマンドを含み、ANSI としてエンコードされた .cfg ファイルを作成します。
    lockPref("security.enterprise_roots.enabled", true);
  2. 次のコマンドを含み、ANSI としてエンコードされた .js ファイルを作成します。この .js ファイルは、作成した .cfg ファイルを参照します。
    pref("general.config.obscure_value", 0);
    pref("general.config.filename", "[file name].cfg");
  3. .cfg ファイルを、次の場所のルート Firefox フォルダに保存します:
    • 64-bit Windows、32-bit Firefox の場合 — C:\Program Files (x86)\Mozilla Firefox\
    • 64-bit Windows、64-bit Firefox の場合 — C:\Program Files\Mozilla Firefox\
    • 32-bit Windows の場合 — C:\Program Files\Mozilla Firefox\
  4. この .js ファイルを C:\Program Files (x86)\Mozilla Firefox\defaults\pref の defaults\pref フォルダに保存します。

.js および .cfg ファイルをネットワーク上の Windows コンピュータに配布するには、グループ ポリシーを使用するか、スクリプトを使った Firebox インストールを利用することができます。

グループ ポリシーを使ってファイルを配布するには、以下の手順を実行します:

  1. グループ Policy Manager で新規のグループ ポリシー オブジェクトを作成します。
  2. オブジェクトを右クリックして、編集 を選択します。
    グループ ポリシー管理エディタ ダイアログ ボックスが開きます。
  3. コンピュータの構成 > 詳細設定 > Windows 設定 > ファイル の順に選択します。
  4. ファイル セクションを右クリックし、新規 > ファイル を選択します。
  5. ソース ファイル テキスト ボックスの横で .cfg ファイルを参照します。
  6. 対象ファイル テキスト ボックスの隣で、64-bit Windows の場合は C:\Program Files (X86)\Mozilla Firefox\[ファイル名].cfg、32-bit Windows の場合は C:\Program Files\Mozilla Firefox と指定します。64-bit Windows と 64-bit Firefox の場合は、C:\Program Files\Mozilla Firefox と指定します。.cfg ファイルがユーザー コンピュータのこの場所にインストールされます。
  7. ステップ 1 ~ 5 を繰り返します。対象ファイル テキスト ボックスの隣で、64-bit Windows の場合は C:\Program Files\Mozilla Firefox\[ファイル名].cfg、32-bit Windows の場合は C:\Program Files\Mozilla Firefox と指定します。64-bit Windows と 64-bit Firefox の場合は、C:\Program Files\Mozilla Firefox と指定します。.cfg ファイルがユーザー コンピュータのこの場所にインストールされます。
  8. ステップ 1 ~ 4 を繰り返します。
  9. ソース ファイル テキスト ボックスの横で .js ファイルを参照します。
  10. 対象ファイル テキスト ボックスの隣で、64-bit Windows の場合は C:\Program Files (X86)\Mozilla Firefox\defaults\pref\[ファイル名].js、32-bit Windows の場合は C:\Program Files\Mozilla Firefox\defaults\pref\[ファイル名].js と指定します。64-bit Windows と 64-bit Firefox の場合は、C:\Program Files\Mozilla Firefox と指定します。.js ファイルがユーザー コンピュータのこの場所にインストールされます。
  11. ステップ 1 ~ 4 を繰り返します。
  12. ソース ファイル テキスト ボックスの横で .js ファイルを参照します。
  13. 対象ファイル テキスト ボックスの隣で、64-bit Windows の場合は C:\Program Files\Mozilla Firefox\defaults\pref\[ファイル名].js、32-bit Windows の場合は C:\Program Files\Mozilla Firefox\defaults\pref\[ファイル名].js と指定します。64-bit Windows と 64-bit Firefox の場合は、C:\Program Files\Mozilla Firefox と指定します。.js ファイルがユーザー コンピュータのこの場所にインストールされます。
  14. OK をクリックします。

スクリプトを使った Firebox インストールを実行するには、Mozilla インストール構成ドキュメント を参照してください。

macOS と Apple Safari で証明書をインポートする

このプロセスにより、 macOS 証明書ストアを使用する Safari および他のプログラムまたはサービスが証明書にアクセスできます。

  1. キーチェーンアクセス アプリケーションを開きます。
  2. 証明書 カテゴリを選択します。
  3. 下部ツールバー上の プラス アイコン (+) ボタンをクリックし、証明書を検索して選択します。
  4. システム キーチェーンを選択して 開く をクリックします。

    または、システム キー チェーンを選択して、それからリストに証明書ファイルをドラッグ アンド ドロップします。
  5. 証明書 を右クリックして Get Info を選択します。

    証明書の情報 ウィンドウが開きます。
  6. 信頼 カテゴリを展開します。
  7. この証明書を使用する際 ドロップダウン リストから 必ず信頼 を選択します。
  8. 証明書の情報ウィンドウを閉じます。
  9. 管理者のパスワードを入力して行われた変更を確認します。

Apple iOS デバイスで証明書をインポートする

iPhone や iPad などの Apple の iOS デバイスで証明書をインポートするには、DER 形式の証明書ファイルを使用する必要があります。Firebox System Manager から PEM 形式の証明書をエクスポートし、DER 形式に変換する方法については、次を参照してください:Firebox から証明書をエクスポートする および 証明書フォーマットを変換する

電子メール、Web サイトのダウンロード、iOS の設定プロファイル、または単純な証明書登録プロトコル (SCEP) などのいくつかの方法でユーザーに証明書ファイルを配布することができます。

電子メールや Web サイトでダウンロードして証明書ファイルを受信した場合、デバイスに証明書ファイルを追加するために証明書をタップします。たとえば、電子メールによって配布された証明書を追加するには次の手順を実行します:

  1. メール アプリケーションを開きます。
  2. 付属の証明書を含む電子メールを開きます。
  3. 添付の証明書をタップします。
    プロファイルのインストール ダイアログ ボックスが開きます
  4. インストール をタップします。

警告メッセージが表示される場合、この時点で安全にそれを無視して、インストール をタップすることができます。iOS デバイスがこの証明書の署名機関を信頼していない場合、このメッセージが表示されます。

デバイスの iOS が 10.3 以降の場合は、証明書をインストール後、次の手順に従って証明書の信頼設定で証明書を有効化する必要があります。

  1. 設定 > 全般 > 詳細 の順に選択します。
  2. 証明書の信頼設定 を選択します。
  3. ルート証明書の完全な信頼を有効化する セクションで証明書のスライダーをタップします。
  4. 続行 をタップします。

Android デバイスで証明書をインポートする

Android デバイスに証明書を追加する手順は、デバイスの製造元によって異なります。次の一般的なルールが適用されます:

  • 証明書を追加するには Android v4.3 以降が必要です。
  • Android は、DER-encoded X.509 証明書をサポートします。特定のデバイスは、証明書を .crt または .cer ファイル拡張子で保存する必要があります。

Firebox System Manager から PEM 形式の証明書をエクスポートし、DER 形式に変換する方法については、次を参照してください:Firebox から証明書をエクスポートする および 証明書フォーマットを変換する

電子メールの添付ファイルやファイルのダウンロードとしてデバイス上に証明書のコピーを持っている場合、一部のデバイスは、デバイスにインポートする証明書をタップすることができます。

  1. Android デバイス上の電子メール アプリケーションを開きます。
  2. 付属の証明書を含む電子メールを開きます。
  3. 添付の証明書をタップします。
    証明書の名前 ダイアログ ボックスが開きます。
  4. 証明書の分かりやすい名前を入力します。
  5. OK をタップします。

Android デバイスの内部ストレージに保存された証明書をインポートするには次の手順を実行します:

  1. Android デバイスの設定で、証明書と資格が格納されているセキュリティ設定に進んでください。
  2. 証明書をインポートします。

関連情報:

デバイス証明書を管理する (WSM)

デバイス証明書を管理する (Web UI)

HTTPS プロキシ:コンテンツ インスペクション