CA証明書のクロス署名

インターネットアクセスゲートウェイで使用するために、インターネットアクセスによって提供される証明書署名要求(CSR)ファイルでCA証明書にクロス署名します。

インターネットアクセスを使用すると、管理者は組織の独自のCA証明書に トレンドマイクロから提供された証明書署名要求(CSR)ファイルをクロス署名し、クロス署名された証明書を Trend Micro Vision One 管理コンソールにアップロードできます。CA証明書にクロス署名すると、 トレンドマイクロ CA証明書と組織独自のCA証明書との間に信頼関係が確立されます。

注:

インターネットアクセスは、クラウドゲートウェイとオンプレミスゲートウェイに異なるCSRファイルを提供します。

  1. 次の点を確認してください。

    • 組織のCA証明書と対応するCA秘密鍵およびそのパスフレーズはすでに使用可能です。

    • 組織のCA証明書の パスの長さの制約なしに設定されているため、下位のCA証明書に制限はありません。

    • 管理者はopensslコマンドの基本的な知識を持っています。

  2. Zero Trust Secure Access > Secure Access Configuration > Internet Access Configurationに移動します。
  3. HTTPSインスペクションタブをクリックします。
  4. 右上にある設定歯車のアイコンをクリックします。
  5. CSRをダウンロードをクリックし、ゲートウェイの種類を選択して、対応するCSRファイルをローカルマシンにダウンロードします。
  6. ローカルマシンにフォルダを作成し、フォルダの名前を指定します(例:クラウドゲートウェイの場合は CrossSignIAGCA_cloud 、オンプレミスゲートウェイの場合は CrossSignIAGCA_onprem )。
    注:

    このセクションで作成するフォルダとファイルの名前はカスタマイズできます。

  7. 新しく作成したフォルダに移動します。
  8. newcertsという名前のサブフォルダを作成します。
  9. certindexという名前の空のファイルを作成します。
  10. ファイルを作成し、次のテキストをコピーして貼り付け、 serialfileという名前で保存します。 
    000a
  11. ダウンロードしたCSRファイルをフォルダ newcertsに移動し、名前を iag_ca.csrに変更します。
  12. ファイルを作成し、次のテキストをコピーしてファイルに貼り付け、 myca.confという名前の設定ファイルとして保存します。 
    [ca]
default_ca = rootca

[crl_ext]
#issuerAltName=issuer:copy  #this would copy the issuer name to altname
authorityKeyIdentifier=keyid:always

[rootca]
new_certs_dir = newcerts
unique_subject = no
certificate = root.cer  #Your organization's CA certificate
database = certindex
private_key = root.key  #Your organization's CA private key
serial = serialfile
default_days = 3660     #Should be at least two years from the date of cross-signing
default_md = sha256     #sha256 is required.
policy = myca_policy
x509_extensions = myca_extensions

[ myca_policy ]
countryName = supplied
stateOrProvinceName = supplied
localityName = supplied
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ myca_extensions ]     #These extensions are required.
basicConstraints = CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = keyCertSign, cRLSign
  13. 次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。 openssl ca -batch -config myca.conf -notext -days 7320 -in iag_ca.csr -out iag_ca.cer

    0A.pem という名前のクロス署名証明書が newcertsフォルダに生成されます。

親トピック: HTTPSインスペクションルール