サーバと証明書のペアリングの設定

サーバ DPI-SSL の検査では、トラフィックに対して DPI-SSL 検査を実行する各サーバへのトラフィックの署名にどの証明書を使用するかを指定する必要があります。

サーバと証明書のペアリングを設定するには、以下の手順に従います。

1. 「ポリシー | DPI-SSL > サーバ SSL」ページに移動します。

2. 「SSL サーバ」セクションまでスクロールします。

   

3. 「+ 追加」をクリックします。「SSL サーバの設定」ダイアログが表示されます。

   

4. 「アドレス オブジェクト/グループ」で、DPI-SSL 検査を適用するサーバに対応するアドレス オブジェクト/グループを選択します。

5. 「SSL 証明書」で、サーバへのトラフィックの署名に使用する証明書を選択します。この証明書は、トラフィックで DPI-SSL サーバ検査が実行された各サーバのトラフィックに署名するために使用されます。詳細情報の参照先は次のとおりです。

• 装置への新しい証明書のインポートについては、「 再署名認証局の選択」を参照してください。

• Linux 証明書の作成。

  (証明書の管理) リンクをクリックすると、「デバイス | 設定 > 証明書」ページが表示されます。

6. SSL オフロードを有効にするには、「平文」を選択します。サーバと証明書のペアリングを追加するとき、「平文」オプションを使用すると暗号化されていないデータをサーバに送信できます。このオプションは、既定では選択されていません。

   この設定が適切に動作するためには、このサーバに対する NAT ポリシーを「ポリシー | ルールとポリシー > NAT ルール」ページで作成し、オフロード サーバに対するトラフィックを SSL ポートから非 SSL ポートに割り付ける必要があります。トラフィックは、443 以外のポートに送信する必要があります。例えば、SSL オフロードで HTTPS トラフィックを使用している場合、適切な動作のためには、トラフィックをポート 443 からポート 80 に再割付する受信 NAT ポリシーを作成する必要があります。

7. 「追加」を選択します。