ビュー:

インターネットアクセスゲートウェイで使用するためにインターネットアクセスから提供される証明書署名要求 (CSR) ファイルを使用して、CA証明書に相互署名します。

インターネットアクセスを使用すると、管理者は トレンドマイクロが提供する証明書署名要求 (CSR) ファイルを使用して組織のCA証明書に相互署名し、その相互署名された証明書を Trend Vision One 管理コンソールにアップロードできます。 CA証明書にクロス署名すると、 トレンドマイクロ CA証明書と組織独自のCA証明書との間に信頼関係が確立されます。
注意
注意
インターネットアクセスでは、クラウドゲートウェイとオンプレミスゲートウェイに対して異なるCSRファイルが提供されます。

手順

  1. 次の項目を確認してください。
    • 組織のCA証明書および対応するCA秘密鍵とそのパスフレーズがすでに存在すること
    • 組織のCA証明書の [Path Length Constraint][None] に設定されており、階層の下にあるCA証明書に制限が適用されないこと
    • 管理者にopensslコマンドの基礎知識があること
  2. [Zero Trust Secure Access][Secure Access Configuration][Internet Access Configuration] に移動。
  3. [HTTPSインスペクション] タブをクリックします。
  4. 右上の [設定] の歯車アイコンをクリックします。
  5. [CSRをダウンロード] をクリックしてゲートウェイの種類を選択し、対応するCSRファイルをローカルマシンにダウンロードします。
  6. ローカルコンピュータにフォルダを作成し、フォルダの名前を指定します。例: CrossSignIAGCA_cloudクラウドゲートウェイの場合、 CrossSignIAGCA_onpremオンプレミスゲートウェイ用。
    注意
    注意
    このセクションで作成するフォルダとファイルの名前はカスタマイズできます。
  7. 新しく作成したフォルダに移動します。
  8. newcertsという名前のサブフォルダを作成します。
  9. certindexという名前の空のファイルを作成します。
  10. ファイルを作成し、次のテキストをコピーして貼り付け、ステップ6で作成したフォルダにserialfileとして保存してください:
    a000
  11. ダウンロードしたCSRファイルをステップ6で作成したフォルダに移動し、iag_ca.csrに名前を変更してください
  12. ファイルを作成し、次のテキストをファイルにコピーして貼り付け、myca.confという名前の設定ファイルとして、ステップ6で作成したフォルダに保存してください
    [ca]
default_ca = rootca

[crl_ext]
#issuerAltName=issuer:copy  #this would copy the issuer name to altname
authorityKeyIdentifier=keyid:always

[rootca]
new_certs_dir = newcerts
unique_subject = no
certificate = root.cer  #Your organization's CA certificate
database = certindex
private_key = root.key  #Your organization's CA private key
serial = serialfile
default_days = 3660     #Should be at least two years from the date of cross-signing
default_md = sha256     #sha256 is required.
policy = myca_policy
x509_extensions = myca_extensions

[ myca_policy ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ myca_extensions ]     #These extensions are required.
basicConstraints = CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = keyCertSign, cRLSign
  13. 次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。
    openssl ca -batch -config myca.conf -notext -days 7320 -in iag_ca.csr -out iag_ca.cer
    0A.pemという名前のクロス署名された証明書が、「newcerts」フォルダに生成されます。