SMA100: デジタル証明書と認証局(Certificate Authorities, CA)に関するFAQ
Description
SMA100: デジタル証明書と認証局(Certificate Authorities, CA)に関するFAQ
Resolution
SSL証明書を購入しなければならないのですか?証明書は非常に高額です。
いいえ、証明書が信頼されていないか整合性のない情報が含まれている旨のセキュリティ警告は単に無視できます。信頼されていない証明書を受け入れること自体はSSL ハンドシェーク中の暗号化レベルに影響しません。しかしながら、SonicWallはいくつかの低コストなデジタル証明書がSonicWall SMA100シリーズ製品で正しく動作することも確認しています。
また、SMA10.2ファームウェアからLet's Encryptからの証明書の発行に対応しています。Let's Encryptの証明書発行について詳しくは、こちらを参照ください。
証明書に関する詳しい情報はそれぞれの証明書の販売元にご確認ください。SonicWall SMA100製品への証明書の導入につきましては、カスタマー サポート センターにお問い合わせください。
デジタル証明書にはどのフォーマットが使用されますか?
X509v3です。
SSL VPN装置ではどの認証局から発行された証明書が利用できますか?
X509v3 フォーマットに対応した全ての認証局の証明書が利用可能です。を持つものであれば一般的に動作すると考えられます。SSL VPN装置でThawte証明書を利用する場合、ファームウェアを1.0.0.9またはそれ以降にアップグレードしてください。
SSL VPN装置はチェーン証明書をサポートしていますか?
はい、サポートしています。システム > 証明書ページにて、以下を実施してください:
- "サーバ証明書"項目で、証明書のインポートを選択し、SSL サーバ証明書と鍵を一緒にまとめた.zip ファイルをアップロードします。このとき証明書は‘server.crt’という名前である必要があります。秘密鍵の名称は‘server.key’です。
- “追加のCA証明書”項目にて、CA証明書のインポート ボタンを選択し、中間証明書(群)をアップロードします。それらの証明書はPEM エンコードのテキスト ファイルである必要があります。
すべての中間CA証明書をアップロード後、システムを再起動する必要があります。これはWeb サーバが新しいCA証明書バンドルを含めて再起動する必要があるためです。
SMA100装置のための証明書を購入する際の注意点はありますか?
毎年の更新作業に悩まされないためにも複数年の証明書を購入することをお勧めします(多くの管理者が、この更新作業を忘れてしまい証明書期限が切れてアクセスに関するトラブルに見舞われています)。また、すべてのSSL VPN装置にアクセスするユーザが最新のWindows アップデート(Microsoft アップデートとも呼ばれます)が実施されていること、およびそこで'ルート証明書'の更新がインストールされていることも推奨される事項です。
に関するFAQ-kA1VN0000000Bzd0AE-0EMVN00000EnhRy.gif)
ヒント: ここで記載した情報は事実ですが、最近の証明機関およびブラウザでは、セキュリティ上の理由で証明書の期間を1年+1ヶ月(更新猶予)に制限しています。 Microsoft 証明書サーバで生成した証明書を使用できますか?
はい、ただしブラウザ警告を回避するためには、Microsoft CAのルート証明書をSSL VPN装置とすべてのSSL VPN ユーザのWeb ブラウザにインストールする必要があります。
新しい証明書と秘密鍵がインポートできません。なぜですか?
インポートする証明書と秘密鍵の名称はそれぞれ‘server.crt’ および ‘server.key’でなければいけません。また双方のファイルは同じ.zip内のroot(フォルダ無し)に配置する必要があります。これらの3つの項目が正しく実施されていないと、インポートに失敗します。
証明書と秘密鍵をインポート後に"保留"メッセージが表示されるのはなぜですか?
証明書のインポート作業を完了するために新しい証明書の横にある設定アイコンを選択し、Certificate Signing Request (CSR)を作成した際に設定したパスワードを入力します。この作業を実施するとSMA装置上で証明書を正しく有効化できます。
複数の仮想ホストを持つ場合、1つ以上の証明書をアクティブにすることができますか?
ポータル > ポータル > ポータルの編集 - 仮想ホスト タブの設定画面よりそれぞれのポータルに対して証明書を選択できます。ポータルの仮想ホスト設定フィールドでは個別のIP アドレスと証明書をポータル単位で指定できます。
私が使用するCAのオンライン登録サイトにCSRをインポートしましたが、サイトではそのCSRはどのような種類のWeb サーバなのかを聞かれます。どのように答えるべきですか?
‘Apache’を選択してください。
秘密鍵と証明書をストアできますか?
はい、秘密鍵はCSR生成プロセスによってCSRと一緒にエクスポートされます。この情報はCAから受け取った証明書と一緒に安全な場所に保管することを強く推奨します。こうすれば、もしSSL VPN装置を置き換える場合や装置の問題が生じた場合に秘密鍵と証明書を再ロードできます。
PKCS#7 (チェーン証明書) または PKCS#12 (秘密鍵およびPFX コンテナ証明書) は SMA装置でサポートされますか?
PKCS #12 (.p12 または.pfx) のインポートをサポートしています。
SMA装置はクライアント デジタル証明書をサポートしますか?
はい、ユーザ > ローカル ユーザ:ユーザの編集 - ログイン ポリシー タブで個々のユーザに対してクライアント証明書を要求することができます。対象のユーザにおいて‘ワンタイム パスワードを要求する’チェックボックスを有効にしてください。クライアント証明書はクライアントのブラウザに読み込まれている必要があり、かつ証明書のCN フィールドはユーザのログイン名と同一でなければなりません。以下の例のように、ユーザのログイン名を 'username' と同一にします:
MS Certificate Server 2003:/DC=local/DC=swenglabone/CN=Users/CN=username/emailAddress=username@sonicwall.comOpenLDAP:
また、クライアント証明書の信頼チェーンのすべての証明書がSSL VPN装置にインストールされていることを確認してください。
クライアント証明書を要求している際に、CA証明書が読み込まれているにも関わらずクライアントが接続できません。
SSL VPNにCA証明書を読み込んだあとにはそのCA証明書をクライアント認証に使用する前に再起動が必要です。クライアント証明書が一致しないとログインに失敗します。また、一般的な問題の原因としては、証明書がまだ使用できない日付である、証明書が執行している、ログイン名と証明書のCommon Nameが一致しない、証明書が送出されていない、などがあります。
Source: SSL VPN 200/2000/4000 FAQs
Related Articles
not finding your answers?
