CatoクラウドでTLSインスペクションを有効にするために、すべてのクライアントデバイスに信頼された証明書としてCatoルート証明書をインストールする必要があります。これにより、Catoクラウドは暗号化されたトラフィックを検査し、ブラウザー警告なしでHTTPSブロックページを表示できます。
Catoクラウドに接続するすべてのクライアントデバイスに信頼された証明書としてCatoルート証明書をインストールする必要があります。 TLSインスペクションのためにはCato証明書のインストールが必須であり、これによりCatoクラウドはデバイスへのおよびデバイスからのトラフィックを検査できます。
これをCatoの展開の最初のステップの1つとして推奨します。 次の目的に役立ちます:
-
TLSインスペクション: TLSインスペクションが有効になると、Catoルート証明書はすべてのHTTPSウェブサイト証明書の発行者としてクライアントに提示されます。 WebブラウザーはCatoの証明書をデフォルトで信頼せず、ユーザーがCatoの証明書がインストールされていないHTTPSウェブサイトを訪れる際には証明書警告を表示します。 Cato証明書がインストールされている場合、TLSインスペクションはエンドユーザーにとって透明です。
-
HTTPSブロックページを表示する: URLフィルタリングまたはインターネットファイアウォールルールによってTLSトラフィックがブロックされる場合、Cato証明書はCatoのブロックページへのアクセスを許可します。 HTTPSウェブサイトへのアクセスをブロックするためにTLSインスペクションを有効にする必要はありません。 しかし、Cato証明書がコンピューターにインストールされていない場合、ユーザーはブロックページではなく証明書警告を表示します。
証明書のインストールプロセスは、各オペレーティングシステムによって異なります:
-
Windowsクライアントの場合、Cato証明書はWindowsの証明書ストアに自動的に追加され、ChromeとEdgeのブラウザをサポートします。
他のブラウザ(例えばFirefox)の場合は、手動でCato証明書をインストールするか、Active Directory グループ ポリシー オブジェクト (GPO) またはMDMを使用してブラウザと一緒にインストールします。WindowsデバイスにCato証明書をインストールするをご覧ください。
-
macOSクライアントの場合、MDMを使用する組織では、Cato証明書がCAキーチェーンの一部として自動的にインストールされます。
それ以外の場合、SDPユーザーが手動でCato証明書をインストールします。 詳細については、「macOSデバイスにCato証明書をインストールする」を参照してください。
-
iOSおよびAndroidクライアントの場合、SDPユーザーが手動でクライアントをインストールするか、MDMを使用してクライアントと共に証明書をインストールします。 詳細については、「iOSデバイスにCato証明書をインストールする」または「AndroidデバイスにCato証明書をインストールする」を参照してください。
-
Cato証明書とクライアントのインストールファイルは、次の場所からダウンロードできます:
-
クライアントダウンロードポータル(CER形式)
-
セキュリティ > 証明書管理(PEMおよびDER形式)
-
Microsoftはドメインコントローラーのインターネットアクセスをブロックすることを推奨しています。 ドメインコントローラー以外のコンピューターで以下のステップ1-3を実行します。
WindowsコンピューターにGPOを使用してCatoルート証明書をインストールするには:
-
ナビゲーションメニューから、セキュリティ > 証明書管理をクリックします。
-
証明書行の末尾にあるアクションメニューから、DERをダウンロードを選択し、Cato証明書を含むファイルを保存します。
-
ドメインコントローラーに証明書ファイルを転送します。
-
ドメインコントローラーで管理ツールを開き、グループポリシー管理を開きます。
-
トップレベルドメインを右クリックし、このドメインにGPOを作成し、ここにリンクします...。
注意: 既存のGPOを使用する場合はステップ8に進んでください。
-
GPOの名前を入力してOKをクリックします。
-
前のステップで作成したGPOまたは既存のGPOを右クリックし、編集...。
-
コンピューター構成 > ポリシー > Windows 設定 > セキュリティ設定 > 公開キー設定を開き、信頼されたルート証明機関フォルダーを右クリックし、インポート...。
-
証明書インポートウィザードへようこそウィンドウで次へをクリックします。
-
インポートするファイルウィンドウで参照...をクリックし、ステップ3でダウンロードしたCato証明書を選択して開くをクリックします。
-
次へをクリックし、以下のストアにすべての証明書を配置するが選択されていることを確認し、表示されている証明書ストアが信頼されたルート証明機関であることを確認します。
-
次へをクリックします。 すべての情報が正しいことを確認し、完了をクリックします。
ウィンドウには、インポートは成功しましたと表示されています。
-
クリックします。OK。
Catoは、公共ルート証明書を管理するために共通CAデータベース(CCADB)に依存することで、業界標準のPKI慣行と一致しています。 CCADBは主要なベンダー(Mozilla、Microsoft、Google)によって共同で維持されており、TLSルート証明書の権威あるCAトラストストアを表しています。
これにより、Catoが以前はMozillaのCAストアと独自の証明書リポジトリを組み合わせて、不足している証明書をアドホックで取得する方法が置き換わりました。この方法は潜在的な非効率性を伴う反応的なアプローチでした。 CCADBベースのストアは、不足している証明書の可能性を減少させ、最新のTLSベストプラクティスに準拠することを保証します。
私たちのR&DチームはCCADBを徹底的に検証し、移行前に顧客から報告された以前に不足している証明書がCCADBデータベースに存在することを確認しました。
稀なケースでは、例えばルートCAがまだCCADBや私たちの定期的な同期サイクルに伝播されていない新しい証明書を発行する場合、証明書がCatoストアにまだ欠落している可能性があります。 その場合は、迅速な解決のために以下の詳細をCatoサポートと共有してください:
-
証明書のシリアル番号、有効期間、発行者、および一般名またはサブジェクト代替名(SAN)
-
証明書のSHA-256フィンガープリント
-
証明書ファイル(.CER形式)
ブラウザー(錠前アイコンを使用)またはOS証明書マネージャー(例:Windowsでは、スタート→certmgr.mscを入力→証明書を検索)を使用して証明書の詳細を取得できます。
セキュリティチームによって検証されると、CAは最初に開発環境に追加され、その後世界中のすべてのPoPに展開されます。
組織によって使用される新しいまたは特異なCA証明書を認識した場合、事前にCatoの担当者と共有してください。 これにより、TLSに関連する接続性の問題や一時的なTLSバイパスルールを追加する必要性を避けることができます。
0件のコメント
サインインしてコメントを残してください。