WatchGuard Cloud でクラウド管理デバイスのアカウント証明書と Firebox 証明書を管理することができます。
以下のアクションを実行することができます。
- 現在の証明書のリストを表示する
- 証明書を追加する
- 証明書を削除する
- 配布または失効用の証明書をエクスポートする
- 証明書を更新する
- 証明書署名要求 (CSR) を作成する
- Firebox Web サーバー証明書を構成する
Subscriber ビューから、管理メニューで自身のアカウントまたは管理対象アカウントの証明書を管理すること、またはデバイス構成ページでクラウド管理のデバイスの証明書を管理することができます。Service Provider ビューからは、デバイス構成ページでのみ証明書管理にアクセスすることができます。
証明書を表示する
Subscriber アカウントの現在の証明書リストを表示するには、管理 > 証明書 の順に選択します。
デバイス証明書を表示するには、構成 > デバイス > デバイス構成 > デバイス証明書 の順に移動します。
ドロップダウン リストを使って、証明書の種類に基づいて表示内容をフィルタリングします。証明書のリストを並べ替えるには、列名をクリックします。
証明書 ページには、以下の列が含まれています。
- 名前 — 証明書の名前
- ステータス — 証明書のステータス
- 書名済み — 証明書は有効で使用可能です。
- 取消済み — 証明書は、発行元の認証機関 (CA) により有効期限前に証明書失効リスト (CRL) を通じて取り消されています。
- 期限切れ — 証明書は期限切れになっています。
- まだ有効ではない - 証明書の開始日は将来の日付で、Firebox の日時と同じではありません。
- サブジェクト — 証明書のサブジェクト名または識別子。
- 有効期限 — 証明書の有効期限。
- 種類 — 証明書の種類。
- アルゴリズム — 証明書で使用されるアルゴリズム (EC、RSA、DSS のいずれか)
- デバイス — 証明書がインストールされているデバイスの数。
デバイス列は、アカウント レベルで証明書にアクセスした場合にのみ使用することができます。
- 説明 — 証明書の説明。
証明書の詳細を表示する、または証明書の名前または説明を更新するには、リストから証明書を選択します。
証明書を追加する
Windows のクリップボードまたはローカル コンピュータのファイルから、証明書をインポートできます。証明書は、Base64 PEM エンコード形式または PFX ファイル形式である必要があります。
作成されたアカウントの CSR は、アカウント レベルでのみインポートすることができます。作成されたデバイスの CSR は、デバイス レベルでのみインポートすることができます。
- 管理 > 証明書 の順に選択します。
証明書ページが開きます。 - 証明書を追加する をクリックします。
証明書を追加する ページが開きます。
- Base64 (PEM) 証明書 または PFX ファイル のいずれかの証明書の種類を選択します。既定の形式は Base64 (PEM) 証明書 です。
- 次へ をクリックします。
- 証明書の 名前 およびオプションの 説明 を入力します。
- 次へ をクリックします。
- 証明書を検証するには、ファイルをドラッグ&ドロップする、またはファイルを選択する、あるいは証明書のテキストをテキスト ボックスに貼り付けます。
- PFX ファイル を選択した場合は、ファイルをドラッグ&ドロップするか、ファイルを選択して、PFX ファイルのパスワード を入力して、ファイルを復号化します。
- 次へ をクリックします。
- 保存 をクリックします。
- 証明書が WatchGuard Cloud の証明書リストに追加されます。
特定のデバイスのみに証明書を追加するには、デバイス構成 ページで、証明書を追加する必要があります。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
デバイス構成ページが開きます。 - 証明書 タイルで、デバイス証明書 をクリックします。
デバイス証明書ページが開きます。 - 証明書を追加する をクリックします。
証明書を追加する ページが開きます。 - 次のうちいずれかのオプションを選択します。
- このデバイスの新しい証明書のみをアップロードする
- 新しい証明書を WatchGuard Cloud にアップロードして、他のデバイスと共有する
- WatchGuard Cloud から証明書をインポートする
WatchGuard Cloud から証明書をインポートする オプションは、既存の証明書が WatchGuard Cloud に保存されている場合にのみ表示されます。
- このデバイスのみに新しい証明書をアップロードする または 新しい証明書を WatchGuard Cloud にアップロードして、他のデバイスと共有する を選択した場合は、証明書の形式を選択して、証明書をインポートする必要があります。
- Base64 (PEM) 証明書 または PFX ファイル のいずれかの証明書の種類を選択します。既定の形式は Base64 (PEM) 証明書 です。
- 次へ をクリックして、証明書の名前を入力します。
- (任意) 証明書の説明を入力します。
- 次へ をクリックします。
- 証明書を検証するには、ファイルをドラッグ&ドロップする、またはファイルを選択する、あるいは証明書のテキストをテキスト ボックスに貼り付けます。
- PFX ファイル を選択した場合は、ファイルをドラッグ&ドロップするか、ファイルを選択して、PFX ファイルのパスワード を入力して、ファイルを復号化します。
- 次へ をクリックします。
- WatchGuard Cloud から証明書をインポートする を選択した場合は、デバイスにインポートする証明書を選択します。
-
保存 をクリックします。
証明書がデバイス証明書リストに追加されます。
証明書を削除する
証明書を削除すると、その証明書を認証に使用できなくなります。プロキシの既定によって使用される自己署名証明書など、自動的に生成された証明書のいずれかを削除すると、 Firebox は、次回に再起動するための新しい自己署名証明書を作成します。別の証明書をインポートした場合、デバイスは新しい自己署名証明を作成しません。
プロキシ認証機関証明書を削除して、Firebox に証明書がない状態にすることはできません。デバイスが再起動すると、Firebox は不足している証明書を既定の証明書で自動的に置き換えます。
プロキシの信頼済み CA 証明書を削除すると、一部のセキュリティ サービスが機能しなくなる可能性があります。
証明書が Branch Office VPN (BOVPN) IPSec トンネル構成で使用されている場合は、Firebox から証明書を削除することはできません。
- 管理 > 証明書 の順に選択します。
証明書ページが開きます。 - 管理 > 証明書 の順にクリックします。
証明書ページが開きます。 - 削除する証明書を選択します。
- 削除 をクリックします。
証明書を削除する 確認ダイアログ ボックスが表示されます。
- 削除 をクリックします。
証明書が特定のデバイスにインポートされている場合は、デバイス証明書ページで証明書を削除することができます。アカウントに追加されている証明書を削除するには、管理 > 証明書 の順に移動します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
デバイス構成ページが開きます。 - 証明書 タイルで、デバイス証明書 をクリックします。
デバイス証明書ページが開きます。 - 削除するデバイス証明書を選択します。
- 削除 をクリックします。
証明書を削除する 確認ダイアログ ボックスが表示されます。
- 削除 をクリックします。
証明書をエクスポートする
信頼済み CA からのリザインまたはネットワー上でクライアントに配信するための証明書をエクスポートできます。証明書がPEM 形式で保存されます。
- 管理 > 証明書 の順に選択します。
証明書ページが開きます。 - エクスポートする証明書を選択します。
- エクスポート をクリックします。
証明書は、既定のダウンロード フォルダに PEM 形式でダウンロードされます。
証明書が特定のデバイスにインポートされている場合は、デバイス マネージャーで証明書をエクスポートすることができます。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
デバイス構成ページが開きます。 - 証明書 タイルで、デバイス証明書 をクリックします。
デバイス証明書ページが開きます。 - エクスポートするデバイス証明書を選択します。
- エクスポート をクリックします。
証明書は、既定のダウンロード フォルダに PEM 形式でダウンロードされます。
証明書を更新する
WatchGuard Cloud で、証明書の名前と説明フィールドを編集することができます。
- 管理メニューで、すべての証明書の名前と説明を編集することができます。
- デバイスについては、デバイスにインポートされている証明書のみを編集することができます。管理メニューを通してインポートした証明書をデバイス証明書ページで選択すると、証明書の詳細を表示できますが、名前や説明を編集することはできません。
証明書の名前または説明を更新するには、以下の手順を実行します。
- 証明書の名前をクリックします。
- 名前または説明を編集します。
- 保存 をクリックします。
証明書署名要求 (CSR) を作成する
WatchGuard Cloud を使用して Firebox から証明書署名要求 (CSR) を作成することができます。自己署名証明書を作成するには、証明書の署名要求 (CSR) に一部の暗号化キーを含め、その要求を CA (認証機関) に送信します。CA は CSR を受信し、ID を確認後、証明書を発行します。
証明書署名要求の作成方法の詳細については、証明書署名要求 (CSR) を作成する を参照してください。
Firebox Web サーバー証明書を構成する
Firebox は、管理接続などの Firebox へのユーザー接続のために既定の Web サーバー証明書を使用します。
ユーザーが Web ブラウザを使用して Firebox に接続すると、多くの場合ユーザーにセキュリティ警告が表示されます。既定の証明書が非信頼の場合で、証明書が Firebox で認証に使用される IP アドレスまたはドメイン名と一致しない場合に、この警告が表示されます。Firebox Web サーバー証明書を構成するには、以下の手順を実行します:Firebox 認証用の Web サーバー証明書を構成する。
また、ユーザー認証には、IP アドレスまたはドメイン名と一致するサードパーティまたは自己署名の証明書を使用することもできます。セキュリティ警告を防ぐには、名クライアント ブラウザまたはデバイスに証明書をインポートする必要があります。第三者の Web サーバー証明書をインポートしインストールする方法の詳細については、次を参照してください:サードパーティ Web サーバー証明書をインポートおよびインストールする。