よくある質問です! 自分のCA証明書を使用する主な使用ケースは、内部コンプライアンス、セキュリティ、およびトラフィックインスペクションについてのガバナンスです。 これにより、証明書インフラストラクチャを利用して環境を移動するトラフィックを解読し、検査することができます。 TLSインスペクションは、RBI、CASB、およびDLPなどのその他のCato機能の前提条件機能です。
自分のCA証明書を使用したTLSインスペクションには2つの主要なアプローチがあります。
-
CAの秘密鍵を使用して自分のCA証明書をアップロード
-
Catoからの証明書署名要求(顧客が署名した証明書)
TLSインスペクションのためにCatoが提供する証明書を使用するオプションも常に利用可能です。 そのオプションについての詳細をこちらで読むことができます。
複数の証明書を作成することができますが、任意の時点でアクティブにできる証明書は1つだけです。
顧客環境のセキュリティ姿勢を強化することに加えて、一度設定されると、カスタム証明書は次のルールに基づいてTLSインスペクションに使用されます:
-
ファイアウォール
-
アンチマルウェア
-
IPS
-
CASB/DLP
-
RBI
これらの方法のいずれかでTLSインスペクションが有効にされると、ルールを使用してバイパスされるトラフィックを除いて、すべてのTLSトラフィックが検査のために解読されます。
既存の企業CA証明書をTLSインスペクションに使用するオプションの場合、まずその署名付き証明書を暗号化されていない秘密鍵と共にアップロードする必要があります。
CA証明書がアップロードされると、署名されたCAの名前、証明書チェーン、有効期限を含む証明書の詳細ビューが表示されます。
証明書の有効期間を更新するために新しい証明書をアップロードする必要がある場合、現在アップロードされているファイルを削除して、新しい証明書とキーのペアでプロセスを再開することができます。 Cato管理アプリケーションは、証明書の有効期限の60日前に管理者に通知を開始し、電子メール通知で再通知されます(30日、7日、有効期限の日にも繰り返されます)。この通知は、期限切れの証明書による不便やセキュリティの欠如を回避するためのものです。
有効期間が60日未満の証明書には、アクティブ化ボタンの横にオレンジ色の三角アイコンが表示されます。 カーソルをアイコンにホバーすると、「証明書はXX日で期限切れになる」と表示されます。 証明書が期限切れになると、アクティブ化ボタンの横に赤い丸アイコンが表示され、カーソルをアイコンにホバーすると「証明書が期限切れ」と表示されます。アクティブ化ボタンはグレーアウトされます。
注意
注: Catoは現在、証明書の取り消しができません。
既存のカスタム証明書をアップロードするには:
-
ナビゲーションメニューから、セキュリティ>証明書管理をクリックします。
-
新規 をクリックし、カスタム証明書を選択します。
-
カスタム証明書パネルで、カスタム証明書と証明書の秘密鍵を閲覧してアップロードします。 両方のファイルが正常にアップロードされた後、送信をクリックします。
送信をクリックした後、証明書とキーが検証され、すべての必要な情報が正しく使用可能か確認されます。 アップロードされた証明書とキーは以下の条件で検証されます:
-
証明書は中間またはCA発行者証明書である必要があります(証明書は他の証明書に署名することができる必要があります)
-
証明書チェーンが存在し、ルートCAを含む
-
証明書ファイルはPEM形式である必要があります
-
キー・ファイルはパスワード保護されておらず、最低暗号化キーの長さはRSA形式で2048ビットです
-
秘密鍵はアップロードされたCA証明書と一致する必要があります
これらの検証が失敗した場合、エラーが表示されます。
-
その証明書キーペアを使用して、Catoは新しいキーペアを生成し、その後カスタム中間証明書を生成します。 新しく作成されたキーペアは、インポートされた秘密鍵を使用して署名され、暗号化されてCatoキー保管場所に保存されます。 新しい中間証明書が生成された後、アップロードされた未暗号化のキーはシステムから削除され、新しく生成された中間証明書のみが使用されます。
このオプションにより、自分のCatoテナントから証明書署名要求(CSR)を生成し、組織のCAによって署名された任意の中間証明書によって署名されることができます。 このオプションは、環境のセキュリティ姿勢を強化し、管理者が必要な証明書を簡単に作成できるようにします。CSRは、それらを使用するプラットフォームによって生成されるためです。
注意
注: 多くのCSRを生成できますが、アカウントごとに1つの証明書しか同時にアクティブ化できません。
アカウントのカスタムCSRを生成するには:
-
ナビゲーションメニューから、セキュリティ>証明書管理をクリックします。
-
新規 をクリックし、CSR - 証明書署名要求を選択します。
CSR作成パネルが表示されます。
-
次の必須フィールドに入力してください:
-
証明書名
-
組織名
-
一般名
注:CSRの他のフィールドはオプションですが、すべての情報を入力するのがベストです。
-
-
CSRを作成 をクリックして、証明書機関によって署名されるCSRを生成します。
CSRを生成した後、署名済みの証明書をアップロードするためのオプションが表示されます。
-
完成したCSRは管理者のローカルマシンに自動的にダウンロードされ、証明書機関に署名のためにCSRファイルを送信することができます。
-
CAから署名された証明書をCato管理アプリケーションにアップロードする必要があります。 証明書管理メニューに戻り、証明書をアップロードをクリックします。
-
ローカルマシンから署名済みの証明書を選択してCato環境にアップロードします。これにより、証明書がTLSインスペクションのルールに使用できるようになります。
注:署名済みの証明書には以下が含まれている必要があります。
-
以下のRSAアルゴリズムのどちらかで署名された:
-
sha256WithRSAEncryption
-
sha512WithRSAEncryption
-
-
最低キーサイズが2048で署名された
-
以下の属性を含める必要があります:
-
authorityKeyIdentifier=keyid,issuer
-
basicConstraints=CA:TRUE
-
keyUsage = keyCertSign,cRLSign
以下のコマンドを使用して属性を確認できます:
openssl x509 -in signed_cert.crt -text -noout
注:現在、証明書の取り消しはサポートされていません。
-
期限切れの証明書に対してイベントは生成されませんが、証明書が生成されたり、アップロードされたり、削除されたりするときに監査ログエントリが作成されます。 アカウント>監査証跡>検索フィールドで「tls account」と検索すると、作成および削除された証明書の監査証跡が表示されます。
カスタム証明書が機能している場合、ブラウザに表示される返された証明書は、顧客がCato管理アプリケーションの「証明書管理」にアップロードしたカスタム証明書と同じです。 その後、返された証明書の一般名と証明書のフィンガープリントをCato管理アプリケーションのアクティブ証明書と比較できます。
いくつかの役立つOpenSSLコマンドがありますので、証明書を操作する際に役立つかもしれません:
-
OpenSSLを使用した秘密鍵の長さの確認:
-
openssl rsa -in myCA.key -text -noout
-
-
CAと秘密鍵の検証:
-
openssl x509 -noout -modulus -in cert.crt | openssl md5 -
openssl rsa -noout -modulus -in privkey.txt | openssl md5
場所:
-
cert.crt はあなたの証明書です
-
privkey.txt はあなたの秘密鍵です
両方のコマンドの出力を比較してください。 それらが同一の場合、秘密鍵は証明書に一致しています。
-
-
OpenSSLを使用した証明書の署名:
-
openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf
場所:
-
sha256 は署名アルゴリズムです。 Macのデフォルトは sha-1 です。 sha512 も使用できます。
-
myCA.pem はあなたのCAです
-
myCA.key はあなたの秘密鍵です
-
request.csr はあなたがcc2から受け取ったcsrファイルです
-
signed_cert.crt はあなたの新しい署名済み証明書です
-
signed_cert_attributes.confファイルには以下の例の内容が含まれています:
-
basicConstraints=CA:TRUE -
authorityKeyIdentifier=keyid,issuer -
keyUsage = keyCertSign,cRLSign
-
-
0件のコメント
記事コメントは受け付けていません。