SMA1000: CSRの作成と商用CA証明書のインポート方法について

Description

SMAのCSRの作成と商用CA証明書のインポート方法について

Resolution

Feature/Application:

SMA1000製品は、クライアントコンピュータがサーバへ送信する情報を保護したり、サーバの身元を接続しているユーザに正当であると確認させるためにSSL証明書を使用します。商用CA( Certification Authority: 認証局) はあなたの会社の身元を証明します。(あなたにCAがサインした証明書を提示することによって、あなたの身元を保証します。) CAは商用や第三者ではなく、会社自身がCAとなることも可能です。

商用の証明書はVeriSign(http://www.verisign.com)のようなCAから購入し、通常の有効期間は1年です。商用CAから証明書を得ることは、機器を通してあなたのネットワークへ接続する人たちにあなたの身元の「証明」します。

あなたは商用CAから証明書を得て、設定をするために、いくつかの手順を行う必要があります。

Configuration: 

Step 1: 証明書署名要求(CSR: Certificate Signing Request)の作成
i.AMCのメインメニューから、SSL Settings をクリックします。
ii. SSL certificatesの Editをクリックします。
iii. Certificate signing requests へ移動し、Newをクリックします Create Certificate Signing Request のページに移動します


iv. あたなが記入した証明書情報は、CSRに保存され、商用CAがあなたの証明書を作成するときに使用します。(その情報は機器に接続するユーザに閲覧が可能です。
       a. Fully qualified domain name の欄には、証明書に表示させたいサーバ名を記入します。これは"Common name"(CN)と知られており、ホスト名とドメイン名で構成されます。例えば、あたなたは vpn.example.comと記入することができます。. Webベースクライアントのユーザたちは、機器(ワークプレイス)にアクセスするためにこの名前を使用します。 よって、覚えることが容易な名前を使用することが最善です。あなたは、ユーザたちがアクセス可能になるために、この名前を外部DNSに登録しなければいけません。
       b. Alternative nameの欄には、サブジェクト別名(Subject Alternative Name certificate extension)を証明書で利用するために、追加の FQDNs、もしくは IP addressを記入します。.複数の別名やIP addressはコンマで区切ります
      c. Organizational unitの欄には、あなたの 部門などを記入します。 (例えば 、MIS Dept)
      d. Organizationの欄には、証明書に表示したいあなたの会社名や組織名を記入します
      e. Localityの欄には, あなたの市や町を記入します。略は使用しないでください。(例、Seattleなど)
      f. Stateの欄には、あなたの州や都市を記入します。略は使用しないでください。(例、Tokyoなど)
      g. Countryの欄には、 あなたの国の2文字の略を記入します。(例、JP)
      h.Key lengthのリストは、 あなたの利用したい鍵長を選択します(ファームによって選択できない場合があります。デフォルトは2048 bits).

v. Signatureのリストは証明書に利用したいアルゴリズムを選択します。
vi. あなたが入力した情報を確認し、SaveをクリックしてCSRを作成します。Create Certificate Signing Request ページに遷移します。


vii. CSRの内容をテキストフォームからコピーし、クリップボードやテキストファイルに保存し、OKをクリックします。

Step 2: 商用CAへCSRの提出(CSRの提出のプロセスは、あなたの選択したCAによって違います。)

商用CAへCSRを提出

i. CSRの内容をCreate Certificate Signing Request ページからコピーします。
ii. それをCAが要求する方法で提出します。(通常はCSRをCAのWebサイトにテキストの内容を貼り付けるか、メールに添付し送付します。). CAによって、あなたはすべてのテキストを貼り付ける必要があるのか、もしくは BEGIN NEW CERTIFICATE REQUEST からEND NEW CERTIFICATE REQUESTのバナーの間までを貼り付ける必要があるのかを特定します。 もし、わからない場合はCAに確認してください。
iii. あなたの身元を確認するまで商用CAの連絡を待ちます。 あなたは身元の証明のために、ひとつもしくは複数の提出を求められるかもしれません。(営業許可や基本定款など)


Note: CSRの提出は一度だけ行ってください。さもなければ、二度CAに課金されるかもしれません。そして、これは内部の秘密鍵も変更し、CAの返答は使用できないものになるでしょう。

Step 3: CSR返答の確認とCAルート証明書の追加。あなたがCSRを提出したのち、あなたはCAが身元を確認するまで待たなければいけません。このプロセスが完了した後、CAは証明書を送るでしょう。 それは2つの形式のいずれかのうち1つです。
      • emailに添付されたファイル形式。この場合、あなたはファイルをローカルに保存し、AMCにログイン後、インポートできます。
      • emailに挿入されたテキスト形式。 この場合、あなたはテキストをコピーし、AMCのテキストボックスに 貼り付けます。 BEGIN CERTIFICATE と END CERTIFICATE バナーが含まれていることを確認してください. CAの返答が、完全な証明書チェーンをCSRに含んでいない場合、 AMCはあなたがCSRをインポートしたときに証明書チェーンを仕上げようと試みます。 もし、チェーンを仕上げられない場合は、AMCはエラーを表示します。もし、これが発生した場合、あなたは機器にCAルート証明書、もしくは中間証明書をインポートしなければいけません。

証明書チェーンの作成

i. 信頼済みのルート証明書と中間証明書をCAから入手します。ほとんどの商用CAはウェブサイトでそれらの証明書を提供しています。もし、CAがあなたの会社である場合は、サーバ管理者に確認してください。
ii.  AMCのメインメニューからSSL Settingsをクリックします。
iii. CA certificatesのEditをクリックして、次のページでNewをクリックしてCAのインポートを実施します。

iv. Certificate signing requests にて、 適切なProcess CSR response のリンクをクリックします。Import CSR Certificate のページへ遷移します。
v. 証明書をアップロードします。
     – もし証明書が、バイナリ形式ならば、参照をクリックし、ローカルから証明書の返答をアップロードします。
     – もし証明書が、base-64 エンコード (PEM) テキスト形式ならば、Certificate textをクリックし、テキストボックスに貼り付けます。BEGIN CERTIFICATE と END CERTIFICATEのバナーを含んでいるか確認します。
vi. Import(Save)をクリックすると、CA Certificatesのページに戻ります。
vii. 証明書が正しくアップロードされているか確認するために、CA Certificateをクリックします。新しい証明書はCA Certificatesのページに表示されます。

Note: CAのルート証明書や中間証明書は、CA CertificatesのEditとクリックし、+Newからインポートすることも可能です。


Step 4: CSR返答から証明書を作成するため、CSRの返答をAMCへインポートします。

証明書の返答をインポートする
i.  AMCのメインメニューからSSL Settingsをクリックします。
ii.  SSL certificatesの Editをクリックします。
iii. Certificate signing requestsにて、適切なProcess CSR responseのリンクをクリックします。
iv. Import CSR Certificate のページで証明書をインポートします:
    – もし証明書が、バイナリ形式ならば、参照をクリックし、ローカルから証明書の返答をアップロードします。
     もし証明書が、base-64 エンコード (PEM) テキスト形式ならば、Certificate textをクリックし、テキストボックスに貼り付けます。BEGIN CERTIFICATE と END CERTIFICATEのバナーを含んでいるか確認します。
5. Certificate Usageの中で、  AMC か WorkPlace/access で証明書を選択します。 (select None if you want to build a list of certificates from which to choose later). もし、追加のWorkPlaceサイトを選択したい場合 ( default WorkPlace に加えて)、リストの中のそれらの名前を選択します。
6. Saveをクリックします。
7. 証明書が正しく選択されていれば、 SSL CertificatesのCertificateのUsedがマークされます。

Step 5: Apply Changesを実行します。



Related Articles

  • How to Provision SMA1000 in Monthly Billing (MSSP Program)
    Read More
  • SMA 1000 Series Support Matrix
    Read More
  • How to Configure SAML 2.0 SSO with Microsoft Entra ID for SonicWall SMA 1000 Series
    Read More

Categories

Secure Mobile Access
SMA 1000 Series
not finding your answers?
Ask the Community
Chat