icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

クラウドHSM保護中間CA証明書の構成

SSLネゴシエーション中に組織のクラウドHSM保護証明書を構成する手順は次の通りです。

  1. [ポリシー]>[SSLインスペクション]>[中間CA証明書]の順にアクセスします。
  2. [中間CA証明書]のページで、[中間CA証明書の追加]>[クラウドHSM保護]の順にクリックします。
  3. [クラウドHSM中間CA証明書の追加]ウィンドウの[一般]タブで、次のセクションを完了します。
  • 名前:証明書の名前を入力します。
  • [保護のタイプ]:このフィールドは、デフォルトでクラウドHSM保護に設定されています。
  • [地域]:証明書の地域を選択します。
  • [ステータス]:証明書を有効または無効にする
  • [定義]:証明書に関する追加のメモまたは情報。
  1. [キー ペアの生成]タブで、次のようにします。
    • (オプション)[公開鍵のダウンロード]をクリックして、中間証明書の公開鍵ペアをダウンロードします。
    • (オプション)[構成証明バンドルのダウンロード]をクリックして構成証明ステートメントをダウンロードし、秘密鍵が生成され、HSM内で保護されていることを確認します。
  2. [CSRの生成]タブで、次の操作を行います。
    • [CSRファイル名:]証明書署名要求(CSR)ファイルの名前を入力します。
    • [共通名(CN):]zscaler.comなど、組織の共通名(CN)を入力します。
    • [組織:]組織または会社の名前を入力します。
    • [部署名:]部または課の名前を入力します。
    • [町/都市:]市区町村の名前を入力します。
    • [都道府県、地域、郡または州:]組織が所在する都道府県、地域、郡、または州を入力します。
    • [国:]組織が所在する国を入力します。
    • [キー サイズ:]キー サイズはデフォルトで2048に設定されています。
    • [署名アルゴリズム:]署名アルゴリズムはデフォルトでSHA-256に設定されています。
    • [パスの長さの制約:]クラウドHSM中間証明書のパスの長さの制約は、デフォルトで0に設定されています。
    • [新しいCSRの生成と保存]をクリックします。CSR証明書が生成されます。
    • [カスタム証明書のCSR]をクリックしてファイルをダウンロードします。

CSRをダウンロードしたら、署名のためにCAに送信します。CSRが下位の証明機関または中間証明機関として署名されていることを確認します。

OpenSSLを使用する場合、署名時に以下の属性が設定されていることを確認してください。

basicConstraints=CA:TRUE
keyUsage=keyCertSign, cRLSign

詳細については、[Active Directory 証明書サービスを使用した CSR の署名を参照してください。

  1. [中間証明書のアップロード]タブで、中間証明書を参照してアップロードします。ファイルは.pem形式にする必要があります。

ユーザーのブラウザに、組織のルート証明書がインストールされていることを確認する。ブラウザは、新しい中間証明書とそれによって署名された証明書を信頼します。証明書のコモンネームが一致しないなど、無効なカスタム証明書をアップロードした場合、ZscalerサービスはZscalerルート証明書を使用しません。代わりに、以前にアップロードされた自己署名証明書を引き続き使用します。

必要に応じて、チェーンを完了する他の中間証明書を含む中間証明書チェーンを、アップロードする中間ルート証明書にアップロードできます。証明書チェーンをアップロードすると、Zscalerサービスは、SSLインスペクション中に、このキー チェーンおよび署名されたサーバー証明書と共に中間ルート証明書をユーザーのコンピューターに送信します。証明書チェーンをアップロードしない場合、Zscalerサービスは組織の中間ルート証明書と署名済みサーバー証明書のみをユーザーのコンピューターに送信します。

証明書チェーンをアップロードすることで、重要な利点が得られます。証明書チェーンは、ユーザーのブラウザーの証明書ストアにルート証明書しかない場合でも、ユーザーのマシンが組織の中間CAによって署名されたサーバ証明書を検証できることを保証する。

中間ルート証明書の侵害、または単に日常的なセキュリティ対策として証明書を変更する場合、SSLインスペクション中に証明書チェーンをユーザーのマシンに送信できることは重要なメリットです。これにより、新しいキー セレモニーや組織のユーザーへの証明書のプッシュを必要とせずに、証明書を効率的にローテーションできます。

既存のカスタム証明書の中間証明書または中間証明書チェーンを置き換えることもできます。新しい中間証明書がデフォルトの証明書ではなく、SSLポリシーに関連付けられていることを確認します。

  1. [確認]タブで、入力したすべての情報を確認または編集します。[デフォルトの証明書]オプションを有効にして、この証明書をデフォルトの中間CA証明書にします。
  2. [保存]をクリックし、変更を有効にします
関連記事s
Secure Sockets Layer(SSL)についてSSLインスペクションについてSSLインスペクションでサポートされる暗号スイートSSLインスペクションで収集したSSLキーとデータの保護アプリケーション固有の信頼ストアへのカスタム証明書の追加SSLインスペクションポリシーについてSSLインスペクションポリシーの設定中間CA証明書についてSSLインスペクションのCA証明書の選択Active Directory証明書サービスを使用したCSRへの署名SSLインスペクションの展開ソフトウェア保護中間CA証明書の構成クラウドHSM保護中間CA証明書の構成SSLインスペクションの展開シナリオ証明書のピン留めとSSLインスペクションSSLインスペクションのテストとロールアウトに関するベストプラクティス