初期設定では、 TMWSaaS はプライベート認証局 (CA) として機能し、クライアントブラウザに送信される初期設定のルートCA証明書を使用して、セキュリティで保護されたHTTPS接続セッションを確立します。しかし、初期設定のCA証明書にはインターネット上の信頼されたCAによる署名がないため、ユーザがHTTPS Webサイトにアクセスするたびに、クライアントブラウザに証明書に関する警告が表示されます。ユーザが証明書に関する警告を無視しても問題はありませんが、独自の証明書がある場合には、クロス署名されたCA証明書を使用することをお勧めします。
TMWSaaS では、トレンドマイクロが提供するCertificate Signing Request (CSR) ファイルを使用して組織独自のCA証明書にクロス署名し、その証明書を TMWSaaS 管理コンソールにアップロードすることができます。CA証明書にクロス署名すると、 TMWSaaS CA証明書と組織の独自のCA証明書の間に信頼関係が確立されます。
このセクションでは、クラウドプロキシで使用するためにCA証明書にCSRファイルでクロス署名する方法を説明します。
-
次の項目を確認してください。
-
組織のCA証明書および対応するCA秘密鍵とそのパスフレーズがすでに存在すること
-
組織のCA証明書の [Path Length Constraint] が [None] に設定されており、階層の下にあるCA証明書に制限が適用されないこと
-
管理者にopensslコマンドの基礎知識があること
-
-
CrossSignTMWSCA_cloud
という名前のフォルダを作成します。
注:
このセクションで作成するフォルダおよびファイルの名前は、ユーザが自由に設定できます。
- 新しく作成したフォルダに移動します。
- newcerts という名前のサブフォルダを作成します。
- certindex という名前の空のファイルを作成します。
-
ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、
serialfile
として保存します。
000a
-
ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、
tmwsaas_ca.csr
として保存します。
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
-
ファイルを作成して、次のテキストをファイルにコピーして貼り付けて、
myca.conf
という名前の設定ファイルとして保存します。
[ca]default_ca = rootca[crl_ext]#issuerAltName=issuer:copy #this would copy the issuer name to altnameauthorityKeyIdentifier=keyid:always[rootca]new_certs_dir = newcertsunique_subject = nocertificate = root.cer #Your organization's CA certificatedatabase = certindexprivate_key = root.key #Your organization's CA private keyserial = serialfiledefault_days = 3660 #Should be at least two years from the date of cross-signingdefault_md = sha256 #sha256 is required.policy = myca_policyx509_extensions = myca_extensions[ myca_policy ]countryName = suppliedstateOrProvinceName = suppliedlocalityName = suppliedorganizationName = suppliedorganizationalUnitName = optionalcommonName = suppliedemailAddress = optional[ myca_extensions ] #These extensions are required.basicConstraints = CA:truesubjectKeyIdentifier = hashauthorityKeyIdentifier = keyid:alwayskeyUsage = keyCertSign, cRLSign
-
次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。
openssl ca -batch -config myca.conf -notext -days 7320 -in tmwsaas_ca.csr -out tmwsaas_ca.cer
0A.pem という名前のクロス署名された証明書が、 「newcerts」 フォルダに生成されます。
- [HTTPSインスペクション] > [復号ルール] に移動し、必要に応じて復号ルールの [証明書] セクションの [クラウド用のクロス署名された証明書] に証明書をアップロードします。