ユーザーが Web ブラウザを使用して Firebox に接続すると、多くの場合ユーザーにセキュリティ警告が表示されます。この警告が発生するのは、既定の Web サーバー証明書が信頼されていないか、認証に使用する IP アドレスまたはドメイン名と証明書が一致しないからです。Web ブラウザで自動的に信頼される署名した CA 証明書を使用して、既定の Web サーバー証明書を置き換えることができます。
署名した CA 証明書を使用する場合、現在の Web サーバー証明書として証明書を選択する前に Firebox にこの証明書をインポートする必要があります。ほとんどの場合、証明書認証機関 (CA) によって署名されたこの証明書には、現在の証明書の信用の連鎖を完成させるために、1 つまたは複数のルートと中間証明書が必要です。新しい Web サーバー証明書をインストールする前にこれらの証明書を正しい順序で Firebox にインポートする必要があります。そうすることで信用の連鎖が確立されます。
新しい Web サーバーをインポートしてインストールするには、次の手順を実行する必要があります:
- 新しい Web サーバー証明書のために証明書署名要求 (CSR) を作成します。
- 信頼できる認証機関によって署名された CSR を用意します。
- Firebox への署名された証明書の信用の連鎖に必要な CA 証明書をインポートします。
- Firebox に新しい署名された Web サーバー証明書をインポートします。
- 新しい Web サーバー証明書を使用するように Firebox を構成します。
OpenSSL などのサードパーティ製ソフトウェアを用いて証明書を作成する場合は、証明書の EKU フィールドに TLS Web サーバー認証 および TLS Web クライアント認証 の値を入力する必要があります。Firebox でインポートされたすべての Web サーバー証明書でこれらの値が必要となります。Firebox で生成された CSR には、これらの EKU 値が自動的に含まれます。
CSR を作成する
自己署名証明書を作成するには、証明書署名要求 (CSR) に一部の暗号化キーを追加し、その CSR を認証機関 (CA) に送信します。CA は CSR を受信し、ID を確認後、証明書を発行します。
サードパーティ製ソフトウェアを使用して、CSR を生成することをお勧めします。これにより、新しいモデルにアップグレードした場合、別の Firebox に移行した場合、または Firebox を RMA 代替に戻した場合にも、別の Firebox で証明書を使用することができます。
証明書署名要求 (CSR) を作成するには、以下を参照してください:証明書 CSR を作成する。
信頼できる CA に CSR を署名してもらう
認証機関 (CA) は、証明書を署名して発行します。CA により署名されたこれたの証明書は信頼されたソースからのものであるため、クライアントの Web ブラウザにより自動的に信頼されます。
CSR が作成されたら、その CSR を信頼できる CA に送信して署名を受ける必要があります。Firebox 用の署名された Web サーバー証明書を受信したら、まず CA 証明書の連鎖を Firebox にインポートし、信頼を確立してから Firebox Web サーバー証明書をインポートする必要があります。
Firebox に CA 証明書をインポートします。
Firebox に署名された新しい Web サーバー証明書の信用の連鎖に必要な CA 証明書をインポートする必要があります。
まず、新しい Web サーバー証明書に署名するのに使用された CA 証明書チェーンをダウンロードする必要があります。これには通常、ルート証明書と 1 つ以上の中間証明書が含まれます。認証機関には、個々の Base-64 でエンコードされた PEM ファイルと PFX 証明書ファイルのバンドルを含む CA 証明書をダウンロードするための複数のオプションがある場合があります。
これらの証明書を Firebox にインポートするとき、証明書の信用の連鎖を確立するために正しい順序で証明書をインポートする必要があります。必要とする証明書のために、認証機関からの指示を慎重に読んでください。まずルート CA 証明書をインポートしてから、中間証明書をインストールします。
これらの証明書を 一般的な使用 証明書タイプとしてインポートします。
Firebox System Manager を使って証明書をインポートするには、次を参照してください:デバイス証明書を管理する (WSM)。
Fireware Web UI を使って証明書をインポートするには、次を参照してください:デバイス証明書を管理する (Web UI)。
Firebox に新しい署名された Web サーバー証明書をインポートする
CA 証明書をインポートすると、Firebox に新しい署名済みの Web サーバー証明書をインポートすることができます。
Firebox System Manager を使って Firebox に Web サーバー証明書をインポートするには、次を参照してください:デバイス証明書を管理する (WSM)。
Fireware Web UIを使って Firebox に Web サーバー証明書をインポートするには、次を参照してください:デバイス証明書を管理する (Web UI)。
この証明書を 一般的な使用 証明書タイプとしてインポートします。
インポートに成功すると、Firebox の Web サーバー証明書としてこの新しくインポートされた証明書を選択することができるようになります。
新しい Web サーバー証明書を選択します
新しい Web サーバー証明書を選択するには、次を参照してください:Firebox 認証用の Web サーバー証明書を構成する。
サード パーティ証明書 オプションを使用して、新しい署名された Web サーバー証明書を選択するようにしてください。
Firebox で新しい証明書への応答が適切に行われていることを確認するには、。https://[Firebox の IP アドレスまたは名前]/sslvpn.html。 へ移動します。