System_Certificates
このセクションでは、「システム > 証明書」ページの概要と、このページで実行できる設定タスクについて説明します。
• 証明書の管理
管理者は、「システム > 証明書」ページで、サーバ証明書や追加のCA (認証局) 証明書をインポートできます。
サーバ証明書
サーバ証明書セクションでは、サーバ証明書のインポートと設定、およびCSR (証明書署名リクエスト) の生成を行うことができます。
サーバ証明書は、SRA装置の身元確認に使用します。 ユーザがログイン ページにアクセスすると、装置からユーザのブラウザに対してサーバ証明書が提示されます。 各サーバ証明書には、その証明書が属するサーバの名前が示されています。
証明書には、自己署名証明書が必ず1つあります。 自己署名とは、実際のCAではなくSRA装置によって生成されたという意味です。 また、管理者が複数の証明書をインポートしている場合もあります。 管理者が複数のポータルを設定している場合、各ポータルに別個の証明書を関連付けていることがあります。 たとえば、ブラウザでvirtualassist.test.sonicwall.comにアクセスすると、sslvpn.test.sonicwall.comにもアクセスできるとします。これらのポータル名それぞれに対し、別個の証明書を持たせることができます。 このようにすると、「このサーバはabcですが、証明書はxyzのものです。 続行しますか?」といった証明書の不一致の警告がブラウザから表示されないようにするうえで役立ちます。
CSRとは、証明書署名リクエストのことです。 CAから証明書を取得するための準備では、証明書の詳細を記したCSRをまず作成します。 そして、そのCSRをCAに送り、所定の料金を支払うと、有効な署名が付いた証明書がCAから返送されます。
追加の CA 証明書
「追加のCA証明書」セクションでは、ローカル ネットワーク内部または外部の認証局サーバから追加のCA証明書をインポートできます。 証明書は、鎖状の証明書とともに、例えば発行したCAが中間 (鎖状) 署名証明書を使っている場合に使用できるように、PEM暗号化形式になっています。
インポートした追加の証明書が有効になるのは、SRA装置を再起動した後です。
SRA装置には、事前インストール済みのSSL機能対応自己署名X509証明書が添付されています。 自己署名証明書の機能はすべて、有名な認証局 (CA) から発行される証明書と同じですが、信頼できるルート ストアにインポートするまでセキュリティ警告「信頼できないルートCA証明書です」が発行されます。 このインポート手順を実行するには、認証後にポータルで「証明書のインポート」ボタンを選択します。
自己署名証明書の使用に代わるもう1つの方法は、証明書署名リクエスト (CSR) を生成し、有名なCAに提出して有効な証明書を発行してもらうことです。 有名なCAには、RapidSSL (www.rapidssl.com)、Verisign 〈www.verisign.com〉、Thawte 〈www.thawte.com〉などがあります。
Note SRA 6.0 からは仮想アシストがサーバ証明書を確認し、装置に対してより安全な環境を提供するようになりました。証明書が許可された組織によって発行されていない場合は、ユーザに危険を通知する警告メッセージが表示されます。ユーザはサーバ証明書の詳細情報を確認してから接続の継続か終了を選択できます。