セキュアWebアプライアンスでの復号化証明書の設定

概要

このドキュメントでは、セキュアWebアプライアンス(SWA)およびプロキシクライアントでHTTPS暗号化証明書を設定する手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• SWAのグラフィックユーザインターフェイス(GUI)へのアクセス

• SWAへの管理アクセス

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

HTTPS復号化

SWA Hypertext Transfer Protocol Secure(HTTPS)復号化では、アプライアンスにアップロードしたルート証明書と秘密キーファイルを使用してトラフィックを暗号化します。アプライアンスにアップロードするルート証明書と秘密キーのファイルは、PEM形式である必要があります。

ルート認証局が署名した中間証明書をアップロードすることもできます。SWAはサーバ証明書を模倣すると、アップロードされた証明書を模倣した証明書とともにクライアントアプリケーションに送信します。この方法では、クライアントアプリケーションが信頼するルート認証局(CA)によって中間証明書が署名されている限り、アプリケーションは偽装サーバ証明書も信頼します。

SWAでの復号化証明書の設定

SWAには、HTTPS復号化で使用する現在の証明書と秘密キーを使用する機能があります。ただし、すべてのx.509証明書が機能するとは限らないため、使用する必要がある証明書の種類について混乱が生じる可能性があります。

証明書には、「サーバ証明書」と「ルート証明書」の2つの主要なタイプがあります。すべての x.509 証明書に、証明書のタイプを識別する Basic Constraints フィールドが含まれています。

• Subject Type=End Entity：サーバ証明書
• Subject Type=CA：ルート証明書

ルート証明書とキーのアップロード

ステップ 1： GUIから Security Services 選択します HTTPS Proxyを参照。
ステップ 2：クリック Edit Settingsを参照。
ステップ 3：Use Uploaded Certificate and Keyをクリックします。
ステップ 4：CertificateフィールドのBrowseをクリックして、ローカルマシンに保存されている証明書ファイルに移動します。

ステップ 5：BrowseをクリックしてKeyフィールドに移動し、秘密キーファイルに移動します。

手順 6：キーが暗号化されている場合は、[キーを暗号化する]を選択します。
手順 7：Upload Filesをクリックして、証明書とキーファイルをセキュアWebアプライアンスに転送します。
アップロードした証明書の情報が[HTTPSプロキシ設定の編集]ページに表示されます。
ステップ8:（オプション）Download Certificateをクリックして、ネットワーク上のクライアントアプリケーションに証明書を転送します。

ステップ 9： Submit と Commit 保存します。

HTTPSプロキシ用の証明書とキーの生成

ステップ 1： GUIから Security Services 選択します HTTPS Proxyを参照。
ステップ 2：クリック Edit Settingsを参照。
ステップ 3：選択 Use Generated Certificate and Keyを参照。
ステップ 4：クリック Generate New Certificate and Keyを参照。
ステップ 5：内 Generate Certificate and Key ダイアログで、ルート証明書に表示する情報を入力します。
「共通名」フィールドには、スラッシュ(/)以外の任意のASCII文字を入力できます。
手順 6：クリック Generateを参照。
手順 7：生成された証明書情報は、[HTTPSプロキシ設定の編集]ページに表示されます。
ステップ8:（オプション）クリックします。 Download Certificate ネットワーク上のクライアントアプリケーションに転送できます
ステップ9:（オプション）次をクリックします。 Download Certificate Signing Request 証明書署名要求(CSR)をCAに送信できます。
ステップ10:（オプション）署名付き証明書をCAから受け取った後、セキュアWebアプライアンスにアップロードします。この操作は、アプライアンスで証明書を生成した後にいつでも実行できます。
ステップ 11 Submit と Commit 保存します。

証明書のインポート

SWAへのアップストリームプロキシ証明書のインポート

SWAがアップストリームプロキシを使用するように設定され、アップストリームプロキシがHTTPS暗号化用に設定されている場合、アップストリームプロキシ暗号化証明書をSWAにインポートする必要があります。

信頼できる証明書リストを管理して証明書を追加し、機能的に証明書を削除することができます。

ステップ 1：GUIで、次を選択します。 Network 選択します Certificate Managementを参照。
ステップ 2：クリック Manage Trusted Root Certificates Certificate Managementページで設定します。
ステップ 3：シスコが認識するリストではなく、署名権限を持つカスタムの信頼できるルート証明書を追加するには、 Import 証明書ファイルを送信します。

ステップ 4： Submit と Commit 保存します。

別のSWAへのSWA証明書のインポート

HTTPSプロキシ用にHTTPS証明書とキーを1つのSWAにアップロードし、元のファイルに現在アクセスできる場合は、コンフィギュレーションファイルから別のSWAにファイルをインポートできます。

ステップ 1：両方のSWAのGUIで、 System Administration をクリックして Configuration Fileを参照。

ステップ 2： クリック Download 表示または保存するには、ファイルをローカルコンピュータに保存します。

ステップ 3： 選択 Encrypt passwords 設定ファイルに保存されます。

ステップ4:（オプション）Use a user-defined file nameを選択し、コンフィギュレーションファイルに任意の名前を指定します。

ステップ 5：下の[送信]をクリックします 現在の設定：設定をダウンロードします .xml 出力を提供してください。

手順 6：ダウンロードしたファイルをテキストエディタまたはXMLエディタで開きます。

手順 7：次のタグを証明書とともにSWAからコピーし、タグ内のすべてのデータをコピーして、他のSWAのコンフィギュレーションファイルで置き換えます。

    
    
      .... 
    

    
    
      .... 
    

    
    
      .... 
     
       .... 
      
    

ステップ 8：変更内容を保存する場所： .xml  ファイルを指定します。

ステップ 9：編集済みファイルをインポートするには .xml コンフィギュレーションファイルを宛先SWAに戻し、GUIから System Administration をクリックして Configuration Fileを参照。

ステップ 10：内 Load Configuration セクションのクリック Load a configuration file from local computerを参照。

ステップ 11[ファイルを選択]をクリックし、編集済みのファイルを選択します .xml 設定ファイル.

ステップ 12クリック Load 証明書とキーを含む新しいコンフィギュレーションファイルをインポートします。

ステップ 13 Commit システムにプロンプトが表示された場合に変更します。

WindowsクライアントでのSWA証明書のインポート 

Microsoft Windowsオペレーティングシステムが稼働するクライアントコンピュータで、SWA HTTPSプロキシ証明書を信頼できるものとしてインポートするには、次の手順を実行します。

ステップ 1：タスクバーの[スタート]ボタンをクリックし、次のように入力します。 Manage computer certificatesを参照。
ステップ 2：Certificates-Local Computerページで展開します Trusted Root Certification Certificatesフォルダを右クリックします。
ステップ 3：クリック All Tasks 選択します Importを参照。
ステップ 4：Certificate Import Wizardページで、 Nextを参照。
ステップ 5：SWA証明書ファイルをインポートするには、 Browse SWAからダウンロードした証明書を選択します。

手順 6：クリック Place all certificates in the following チェックボックスをオンにします。
手順 7：選択 Trusted Root Certification Authorities をクリックして Nextを参照。
ステップ 8：クリック Finishを参照。

または、次のコマンドを使用して証明書をインポートできます Trusted Root Certification Authoritiesを参照。

certutil -addstore -f "ROOT" 
    
    

MacクライアントでのSWA証明書のインポート

ステップ 1：SWAからMac OSクライアントにHTTPSプロキシ証明書をダウンロードします。

ステップ 2：ファイル拡張子をに変更します .crtを参照。

ステップ 3：信頼できる証明書として証明書をインポートするには、次のコマンドを実行します。

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain 
    
    

注：これをダウンロード済みの証明書のパスとファイル名に置き換える必要があります。

Ubuntu/DebianでのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： テキストエディタで証明書ファイルを開き、すべての内容をコピーします。

ステップ 3： で新しいファイルを作成する /usr/local/share/ca-certificates/  さらにトラブルシューティングを行うために、 .crt 内線番号。

ステップ 4：目的のテキストエディタでファイルを編集し、コピーしたテキストを新しいファイルにコピーして保存します。

ステップ 5： オペレーティングシステムで証明書を更新するには、次のコマンドを実行します。

sudo update-ca-certificates

ヒント：クライアントにローカルに保存されている証明書がある場合は、その証明書をにコピーできます。 /usr/local/share/ca-certificates/ 実行します sudo update-ca-certificatesを参照。

注：バージョンによっては、次のコマンドを使用してca-certificatesパッケージをインストールする必要があります。 sudo apt-get install -y ca-certificatesを参照。

CentOS 6でのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： テキストエディタで証明書ファイルを開き、ファイル内のすべての内容をコピーします。

ステップ 3： で新しいファイルを作成する /etc/pki/ca-trust/source/anchors/  さらにトラブルシューティングを行うために、 .crt ファイル拡張子.

ステップ 4：目的のテキストエディタでファイルを編集し、コピーしたテキストを新しいファイルにコピーして保存します。

ステップ 5：ca-certificatesパッケージをインストールします。

yum install ca-certificates

手順 6： オペレーティングシステムで証明書を更新するには、次のコマンドを実行します。

update-ca-trust extract

ヒント：クライアントにローカルに保存されている証明書がある場合は、その証明書をにコピーできます。 /etc/pki/ca-trust/source/anchors/ 実行します update-ca-trust extract インストール後に ca-certificatesを参照。

CentOS 5でのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： テキストエディタで証明書ファイルを開き、ファイル内のすべての内容をコピーします。

ステップ 3： 現在のフォルダに新しいファイルを作成する .crt 内線番号(例： SWA.crt）。

ステップ 4：を編集します /etc/pki/tls/certs/ca-bundle.crt 目的のテキストエディタで、コピーしたテキストをファイルの末尾に貼り付けて保存します。

ヒント：証明書がクライアントにローカルに保存されている場合(この例では、ファイル名は SWA.crt)を使用する場合は、次のコマンドで証明書を追加できます。 cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crtを参照。

Mozilla FirefoxでのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： ファイル名をに変更します。 .crtを参照。

ステップ 3： Firefoxを開き、メニューをクリックします（右上隅の3つのバー）。 

ステップ 4：設定を選択します（一部のバージョンではオプションです）。

ステップ 5：クリック Privacy & Security 左側のメニューで、スクロールして Certificatesを参照。

手順 6： クリック View Certificatesを参照。

手順 7： ポリシーの横の [レポート（Report）] Authorities tabキーを押してから Importを参照。

ステップ 8：証明書ファイルを選択し、 Openを参照。

ステップ 9：クリック OKを参照。

Google ChromeでのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： ファイル名をに変更します。 .crtを参照。

ステップ 3： Google Chromeを開き、 Customize and control Google Chrome（右上隅に3つのドット）。

ステップ 4：選択 Settingsを参照。

ステップ 5：クリック Privacy and Security 左側のメニューから選択します。

手順 6： 選択 Securityを参照。

手順 7： スクロール先 Manage certificates  右側のボタンをクリックします

ステップ 8：次のいずれかを選択します Trusted Root Certification Authorities tabキーを押しながら Importを参照。

ステップ 9：証明書ファイルを選択し、 Openを参照。

ステップ 10：クリック OKを参照。

注：オペレーティングシステムにSWA証明書をインストールする場合、Google Chromeはその証明書を信頼し、ブラウザに証明書を個別にインポートする必要はありません。

Microsoft Edge/Internet ExplorerでのSWA証明書のインポート

Microsoft EdgeおよびInternet Explorer(IE)は、オペレーティングシステムの証明書を使用します。SWA証明書をオペレーティングシステムにインストールする場合は、証明書をブラウザに個別にインポートする必要はありません。

SafariでのSWA証明書のインポート

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： ファイル名をに変更します。 .crtを参照。

ステップ 3： 起動パッドで、次を検索します Keychain Access をクリックします。

ステップ 4： File メニューのクリック Add Keychainを参照。

ステップ 5： SWA証明書ファイルを選択し、 Addを参照。

手順 6： 選択 Securityを参照。

手順 7： スクロール先 Manage certificates 右側のボタンをクリックします

ステップ 8：次のいずれかを選択しますTrusted Root Certification Authorities tabキーを押しながら Importを参照。

ステップ 9：証明書ファイルを選択し、 Openを参照。

ステップ 10：クリック OKを参照。

グループポリシーからクライアントへのSWA証明書のインポート

Active Directoryからグループポリシーによって証明書をクライアントコンピュータに配布するには、次の手順を使用します。

ステップ 1：SWAからHTTPSプロキシ証明書をダウンロードします。

ステップ 2： ファイル名をに変更します。 .crtを参照。

ステップ 3： 証明書ファイルをドメインコントローラにコピーします。

ステップ 4： ドメインコントローラで、 start  を開き、 Group Policy Management スナップイン。

ステップ 5： 目的のグループポリシーオブジェクト(GPO)を見つけるか、SWA証明書を含む新しいGPOを作成してクライアントにインポートします。

手順 6： GPOを右クリックし、 Editを参照。

手順 7： 左側のメニューから、 Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policiesを参照。

ステップ 8：を右クリックします。 Trusted Root Certification Authoritiesをクリックし、 Importを参照。

ステップ 9： クリック Next の Welcome to the Certificate Import Wizard ページを使用します。

ステップ 10： インポートするSWA証明書ファイルを選択し、 Nextを参照。

ステップ 11 クリック Place all certificates in the following storeをクリックし、 Nextを参照。

ステップ 12 入力した情報が正しいことを確認し、 Finishを参照。

注：状況によっては、クライアントを再起動するか、 gpupdate /force 変更をActive Directoryクライアントマシンに適用します。

関連情報

• AsyncOS 14.5 for Cisco Secure Web Applianceユーザガイド – GD（一般導入）
• グループポリシーを使用して証明書をクライアントコンピューターに配布する | Microsoft詳細情報
• テクニカル サポートとドキュメント - Cisco Systems