証明書について

証明書は、個人または組織のアイデンティティーをメソッドと照合することにより、他のユーザーがアイデンティティーを確認し、通信を安全に行えるようにします。他のユーザーは、キー ペアと呼ばれる暗号化の方法または プライベート キー および パブリック キー と呼ばれる 2 つの数学的に関連する数字を使用します。証明書には、アイデンティティーのステイトメントとパブリック キーの両方を含まれています。証明書は、プライベート キーで署名されています。

証明書を署名するために使用するプライベート キーは、証明書を生成するために使用する同じキー ペアまたは別のキー ペアに対応する可能です。プライベート キーは、証明書を作成するために使用する同じキー ペアに対応する場合、結果が 自己署名証明書 と呼ばれます。プライベート キーは、別のキー ペアに対応する場合、結果が正規 証明書 です。別の証明書を署名するために使用できるプライベート キー付き証明書は、CA (認証機関)証明書 と呼ばれます。認証機関は、証明書の署名や取り消しを行う組織またはアプリケーションです。

貴社の組織が PKI (パブリック キー インフラストラクチャ)設定を持つ場合、CA 自身として証明書に署名することができます。多くのアプリケーションとデバイスは、著名で信用のある CA から自動的に証明書を受け取ります。自己署名証明書などの著名な CA から署名されたものではない証明書は、多くのサーバーまたはプログラムで、自動的に受け取ることはできません。また、いくつかの Firebox 機能では正しく動作しません。

信用を築くために複数の証明書を使用します。

信用の連鎖 を作成するために、複数の証明書を併用できます。たとえば、連鎖開始時の CA 証明書が著名な CA から発行されているものである場合は、CA 証明書は中間 CA の別の CA 証明書に署名するために使用されます。中間 CA は貴社の組織で使用される別の CA 証明書に署名することができます。最終的に、貴社の組織は、HTTPS プロキシと SMTP プロキシ コンテンツのインスペクション機能で用いるためにこの CA 証明書を使用することができるようになります。信用の連鎖の最後にある証明書を使用する場合は、まず以下の順序で、すべての証明書を信用の連鎖にインポートします。

  1. 著名な CA またはローカル CA からの CA 証明書 (一般的な使用 タイプとして)
  2. 中間 CA からの CA 証明書 (該当する場合) (一般的な使用 タイプとして)
  3. プロキシ コンテンツ インスペクションの署名証明書 (送信の場合は プロキシ認証機関、受信の場合は プロキシ サーバー タイプとして)

最後の証明書もユーザーから信用されるように、すべての証明書を各クライアント デバイスにインポートする必要があります。

必要性に基づき、証明書チェーンにこれらの証明書タイプのすべてまたは一部を含めることができます。たとえば、証明書連鎖には中間 CA 証明書やローカル CA 証明書が含まれていない可能性もあります。

Firebox が証明書を使用する方法

Firebox の証明書の用途には次のようなものがあります:

  • Firebox 管理セッション データが証明書でセキュリティ保護されます。
  • Branch Office VPN、Mobile VPN with IPSec、Mobile VPN with L2TP、および Mobile VPN with IKEv2トンネルは、証明書を認証に使用できます。
  • TLS トラフィックを介する送信 HTTPS または SMTP、POP3 または IMAP にコンテンツ インスペクションが有効化されている場合、これらのプロキシはトラフィックがインスペクションのために解読された後、それを再暗号化するために証明書を使用します。再署名証明書は、既定のプロキシ認証期間の証明書またはインポートされた CA 証明書のいずれかになります。
  • 受信 HTTPS プロキシを持つ証明書を使用して、ネットワークの Web サーバーを保護することができます。
    • 既定のプロキシ サーバー証明書をこの目的に使用するか、異なる証明書を選択して各プロキシに使用することができます。
    • これにより、1 つの Firebox の背後にある複数の異なるパブリック用 Web サーバーをホストし、さまざまなアプリケーションが様々な証明書を使用できるようになります。
  • コンテンツ インスペクションが TLS トラフィックの受信 SMTP、POP3 または IMAP に対し有効化されていると、このプロキシは証明書を使ってインスペクションのための解読が行われた後にトラフィックを再暗号化します。この目的のために規定のプロキシ サーバー証明書を使用できます。
  • WebBlocker の上書きなどの目的で、ユーザーが Firebox で認証を行う場合、接続は証明書でセキュリティ保護されます。
  • RADIUS または Firebox 認証が、WPA Enterprise 、または WPA2 Enterprise 認証方法を使うように構成されている場合。

既定では、 Firebox は Fireware Web UI とプロキシコンテンツのインスペクションのための管理セッション データおよび認証試行を確保するために、自己署名証明書を作成します。コンテンツ インスペクションのために使用した証明書が一意であり、名前にデバイスのシリアル番号および証明書の作成時間が含まれていることを確認します。

これら証明書は信用のある CA から署名されていないため、ネットワーク上のユーザーの Web ブラウザに警告が表示されます。

この警告を削除するための 3 つのオプションがあります。

  • これらの機能を使用するために、組織のためにセットアップした PKI など、組織が信用する CA から署名された証明書をインポートできます。可能な場合は、このオプションを使用することをお勧めします。
  • 組織の名前と場所に一致するカスタムおよび自己署名証明書を作成します。
  • 既定の自己署名証明書を使用できます。

第 2 と 3 のオプションの場合は、ネットワーククライアントが Firebox に接続するとき、この自己署名証明書を手動で受け取るよう要求できます。または、証明書がエクスポートでき、ネットワーク管理ツールで分散されます。

証明書をエクスポートする方法については、次を参照してください:Firebox から証明書をエクスポートする

証明書をクライアントにエクスポートする方法については、次を参照してください:クライアント デバイスに証明書をインポートする

Firebox の証明書ポータルから証明書をダウンロードしてインポートする方法については、次を参照してください:証明書ポータル

証明書を置き換える、または削除する

証明書をインポートすると、既存の証明書が置き換えられます。ごくまれに、証明書を手動で削除する必要があります。

  • 証明書署名要求 (CSR) が保留中で、完了していない
  • 証明書の有効期限が切れている
  • 使用されていないローカル サーバーからの CA 証明書が存在している

置き換える予定がない限り、Firebox からの証明書を削除しないでください。証明書を削除されており、それが置き換えられていない場合は、デバイスが再起動したときに、Firebox で不足している証明書が既定の証明書で自動的に置き換えられます。プロキシの信頼済み CA 証明書を削除すると、一部のセキュリティ サービスが機能しなくなる可能性があります。

証明書の有効期限と CRL

各証明書は作成時に有効期限が設定されます。証明書は、セットされた有効期限のエンドに到達した場合、これは切れてその後自動的に使用できません。証明書は、Firebox System Manager (FSM) によって手動で削除できます。

認証に証明書を使用する場合は、証明書の有効期限を追跡することが重要です。これにより、VPN などの重要なサービスの中断を回避することができます。

有効期限が期限切れになる前に、証明書が取り消しまたは無効になることがあります。VPN 認証に使用する証明書が有効であることを確認するために、Firebox は、これらの失効した証明書の現在のリストを保持します。このリストは、証明書失効リスト (CRL) と呼ばれます。WatchGuard System Manager がインストールされている場合、このリストは Firebox System Manager (FSM) によって手動で更新できます。または、証明書からの情報で自動的に更新できます。各証明書には、証明書を識別するために使用する一意な番号が含まれます。Web サーバー、BOVPN、 Mobile VPN with IPSec、Mobile VPN with L2TP、または Mobile VPN with IKEv2 証明書上の固有番号が関連 CRL からの識別子に一致する場合、 Firebox は証明書を無効にします。

コンテンツのインスペクションがプロキシで有効になっている場合、Firebox は、コンテンツの署名に使用される証明書に関連づけられている OCSP (オンライン証明書ステータス プロトコル)レスポンダーをチェックすることができます。OCSP 応答者が証明書の失効ステータスを送信します。OCSP の応答が Firebox が信頼する証明書によって署名されている場合、Firebox は OCSP の応答を受け入れます。OCSP の応答が Firebox が信頼する証明書によって署名されている場合、または OCSP の応答が応答を送信しない場合、元の証明書を受け入れるか拒否するように Firebox を構成することができます。

OCSP のオプションの詳細については、次を参照してください:HTTPS プロキシ:コンテンツ インスペクション

認証機関と署名要求

自己署名証明書を作成するには、証明書署名要求 (CSR) に一部の暗号化キーを含め、その CSR を認証機関に送信します。作成した各 CSR のために、新しいキーペアを使う必要があります。CA は、CSR を受信し、ID を確認し、証明書を発行します。FSM または Management Server ソフトウェアがインストールされている場合、Firebox に CSR を作成するには、これらのプログラムを使うことができます。ほとんどの Windows Server オペレーティング システムにある OpenSSL または Microsoft CA Server など他のツールも使用できます。

サードパーティ製ソフトウェアを使用して、CSR を生成することをお勧めします。これにより、新しいモデルにアップグレードした場合、別の Firebox に移行した場合、または Firebox を RMA 代替に戻した場合にも、別の Firebox で証明書を使用することができます。

HTTPS プロキシ コンテンツ インスペクション機能で使用する証明書を作成するには、他の証明書を再署名できる CA 証明書を作成する必要があります。作成した CSR が著名な CA によって署名されている場合は、この証明書をコンテンツ インスペクション用の CA 証明書の再署名として使用することはできません。

受信 SMTP TLS コンテンツ インスペクションでは、既定の自己署名プロキシ サーバー証明書を使用することができます。外部エンティティがドメインを検証できるようにするには、公開署名済み証明書を使用します。

組織内で PKI がセットアップされていない場合は、プロキシ CA 証明書を除き、使用する CSR を署名する著名な CA を選択することをお勧めします。有名な CA が証明書を署名すると、多くのユーザーは組織の証明書を自動的に信頼します。Firebox が他の CA を信頼するように、追加の証明書をインポートすることもできます。

自動的に信頼された CA の完全なリストについては、次を参照してください:デバイスが信頼した認証機関

WatchGuard System Manager で、Management Server も CA として動作できます。設定の更新を受信するために Management Server にアクセスする際に、CA から管理対象 Firebox に証明書が提供されます。

詳細については、Management Server で認証機関を構成する を参照してください。

関連情報:

証明書 CSR を作成する

OpenSSL で CSR を作成する

クライアント デバイスに証明書をインポートする

HTTPS プロキシ コンテンツ インスペクションで証明書を使用する

SMTP プロキシ:STARTTLS 暗号化

Branch Office VPN (BOVPN) トンネル認証の証明書

Mobile VPN with IKEv2 トンネル認証用の証明書

Mobile VPN With IPSec トンネル認証の証明書 (Web UI)

Mobile VPN with IPSec トンネル認証の証明書 (WSM)

Mobile VPN with L2TP トンネル認証用の証明書

デバイス証明書を管理する (WSM)

デバイス証明書を管理する (Web UI)

Management Server で証明書を管理する