初期設定では、TMWSaaSはプライベート認証局 (CA) として機能し、クライアントブラウザに送信される初期設定のルートCA証明書を使用して、セキュリティで保護されたHTTPS接続セッションを確立します。しかし、初期設定のCA証明書にはインターネット上の信頼されたCAによる署名がないため、ユーザがHTTPS
Webサイトにアクセスするたびに、クライアントブラウザに証明書に関する警告が表示されます。ユーザが証明書に関する警告を無視しても問題はありませんが、独自の証明書がある場合には、クロス署名されたCA証明書を使用することをお勧めします。
TMWSaaSでは、トレンドマイクロが提供するCertificate Signing Request (CSR) ファイルを使用して組織独自のCA証明書にクロス署名し、その証明書をTMWSaaS管理コンソールにアップロードすることができます。CA証明書にクロス署名すると、TMWSaaS CA証明書と組織の独自のCA証明書の間に信頼関係が確立されます。
このセクションでは、クラウドプロキシで使用するためにCA証明書にCSRファイルでクロス署名する方法を説明します。
手順
- 次の項目を確認してください。
-
組織のCA証明書および対応するCA秘密鍵とそのパスフレーズがすでに存在すること
-
組織のCA証明書の [Path Length Constraint] が [None] に設定されており、階層の下にあるCA証明書に制限が適用されないこと
-
管理者にopensslコマンドの基礎知識があること
-
CrossSignTMWSCA_cloudという名前のフォルダを作成します。
注意
このセクションで作成するフォルダおよびファイルの名前は、ユーザが自由に設定できます。- 新しく作成したフォルダに移動します。
newcertsという名前のサブフォルダを作成します。certindexという名前の空のファイルを作成します。- ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、
serialfileとして保存します。000a
- ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、
tmwsaas_ca.csrとして保存します。-----BEGIN CERTIFICATE REQUEST----- MIIEwjCCAqoCAQAwfTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQswCQYDVQQH DAJDVTEUMBIGA1UECgwLVHJlbmQgTWljcm8xDTALBgNVBAsMBFRNV1MxLzAtBgNV BAMMJlRyZW5kIE1pY3JvIFdlYiBTZWN1cml0eSBDbG91ZCBSb290IENBMIICIjAN BgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuHcSU43KYws7UxoyfH8RcnaO0cr/ HETn3npjrKxWy3+L8/RSPg/KjUgZhVIqcYgef40rsNoNrM67UwdRxlDpr7qKT47P ZFaIwMCpfqPFHYvnz7JlcomfeY576ksnMZ87X7ThK3ZqXAuuTUHeDUXep9QAWmPM Jwq15xGfPf28AR8jEfF8V0xbFHbyMYQyKpzbPDUGAgiLgKGiDsYkEpi65FfOGNKH jauQ+s1BlO/j9MLtp2Jf9me27iSyluD+ATo93a7Z3vlHBIyazENhPG7yJa971DBy 8FUhKWrrn1Nv2VBCT+4bVpKAvoIqhbFFytBcTRfq0dRMPmiB9ug2BjxDry5Uucko 8jMT2aN96M+Jm5Rlaq9W/ci7jkVgwDAAPtGDum8Eyxt38CRkmfFcMpXMOnPBdaDc vTXwIU+TSd2g8nJqHlD19Ijb1QuoRzA+45ByparF5/1QvPhd9nHKBUN+foNZJXBX dKBPtycjjL+8zeS3KXA2qo5gn2B6BOsG67O4/4uAEqEB7WsLpdCaKk4zrA5fiNyB arRsXY6ueuEnwkupxyswldzihj2/HNZtdk1pZQo9PIUe4PmuSoBJxvQwyBJ+AI9h OJ6UpTsS/UX9ei0z87ZBiLKPh4zUjZtPzI4UQErv3QigG/v+fnMmhEAOY0lTQfpq WoBsADZyLwzpZh0CAwEAAaAAMA0GCSqGSIb3DQEBCwUAA4ICAQCM/LyutXY4wDst LAO2W/xJIkG6+gT5Y++Yql7xoCuHvpr4sNGOuT3tY1XAiWLu86fQTLO5m70MzVYq 14fcAYhRzzv1WJNbzAxzSzagV5J01l9LsfRA8z1gBvFUfN4PmGoUfkx2pAFFPDt2 BOyZX/3TcZ8V/icRrhK36CZq8jMr2YMsA7zG3OVOLtYFZBa0JICcp9SWCc/6M4DG Rn2uNKMA69qq+xI1OkfcYxcxNf/Wlhwh7OEUVVyaeSglo/QFnq0TTmxxkWEpIsd8 B5TB9vUAS+al7jkKtpSVYR9Z2i6lPhN8AZrNkBsqI1MNtq5+CPo2+WPH9gTwuC+J 5Wu6UtrIUEatYuWUSGHNcDO6tmoxyLmE4g/AeyFERS5s6zUO7WRXJ5inYzr3JZAM 1B3sJo957ue7PofHw5bIZKqc46uUaVJJD+G19MuAR1QOSfvqvXDVUsYliy5h6P+e p5JICIe/5j8xyb273s7GVEbpMz2ZvvNaZDwCcMWL1S7zohw4wH7jzml0X2kr0oYs vpcNfoug/4IKj8Y2PVMYJwJadXOGFZGo+L7YOI5Cb4+4pzhH8+TetXSzEEMkozW9 4j7W64EfOZwaBv1XLqOwS3UoHTtB1ewsYoC2cyrJ6ypTqyPrGtbFnFYy2zmruLjA AFd65jMhNeeACg8sqfsfFOSmSluQ1A== -----END CERTIFICATE REQUEST----- - ファイルを作成して、次のテキストをファイルにコピーして貼り付けて、
myca.confという名前の設定ファイルとして保存します。[ca] default_ca = rootca [crl_ext] #issuerAltName=issuer:copy #this would copy the issuer name to altname authorityKeyIdentifier=keyid:always [rootca] new_certs_dir = newcerts unique_subject = no certificate = root.cer #Your organization's CA certificate database = certindex private_key = root.key #Your organization's CA private key serial = serialfile default_days = 3660 #Should be at least two years from the date of cross-signing default_md = sha256 #sha256 is required. policy = myca_policy x509_extensions = myca_extensions [ myca_policy ] countryName = supplied stateOrProvinceName = supplied localityName = supplied organizationName = supplied organizationalUnitName = optional commonName = supplied emailAddress = optional [ myca_extensions ] #These extensions are required. basicConstraints = CA:true subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always keyUsage = keyCertSign, cRLSign
- 次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。
openssl ca -batch -config myca.conf -notext -days 7320 -in tmwsaas_ca.csr -out tmwsaas_ca.cer0A.pemという名前のクロス署名された証明書が、「newcerts」フォルダに生成されます。 - に移動し、必要に応じて復号ルールの [証明書] セクションの [クラウド用のクロス署名された証明書] に証明書をアップロードします。