SSLインターセプト証明書ストア
SSLトランザクションに不可欠な部分であるSSL証明書は、企業(ドメイン)または個人を識別するデジタルデータ形式(X509)です。SSL証明書は、認証局(CA)によって発行されます。CAはプライベートまたはパブリックのいずれかです。VerisignなどのパブリックCAによって発行された証明書は、SSLトランザクションを実行するアプリケーションによって信頼されます。これらのアプリケーションは、信頼するCAのリストを保持しています。
フォワードプロキシとして、Citrix Secure Web Gateway™ (SWG) アプライアンスは、クライアントとサーバー間のトラフィックの暗号化と復号化を実行します。これは、クライアント(ユーザー)に対してはサーバーとして、サーバーに対してはクライアントとして機能します。アプライアンスがHTTPSトラフィックを処理する前に、不正なトランザクションを防ぐためにサーバーのIDを検証する必要があります。したがって、オリジンサーバーへのクライアントとして、アプライアンスはオリジンサーバー証明書を受け入れる前に検証する必要があります。サーバーの証明書を検証するには、サーバー証明書の署名と発行に使用されるすべての証明書(ルート証明書や中間証明書など)がアプライアンスに存在している必要があります。CA証明書のデフォルトセットは、アプライアンスにプリインストールされています。Citrix® SWGは、これらの証明書を使用して、一般的なオリジンサーバー証明書のほとんどすべてを検証できます。このデフォルトセットは変更できません。ただし、展開でより多くのCA証明書が必要な場合は、そのような証明書のバンドルを作成し、そのバンドルをアプライアンスにインポートできます。バンドルには単一の証明書を含めることもできます。
証明書バンドルをアプライアンスにインポートすると、アプライアンスはリモートロケーションからバンドルをダウンロードし、バンドルに証明書のみが含まれていることを確認した後、アプライアンスにインストールします。サーバー証明書を検証するために使用する前に、証明書バンドルを適用する必要があります。編集のため、またはバックアップとしてオフラインの場所に保存するために、証明書バンドルをエクスポートすることもできます。
Citrix SWG CLI を使用したアプライアンスでの CA 証明書バンドルのインポートと適用
コマンドプロンプトで、次のように入力します。
import ssl certBundle <name> <src>
<!--NeedCopy-->
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->
引数:
名前:
インポートされた証明書バンドルに割り当てる名前。ASCII英数字またはアンダースコア (_) 文字で始まり、ASCII英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、ハイフン (-) のみを含める必要があります。以下の要件はCLIにのみ適用されます。
名前に1つ以上のスペースが含まれる場合は、二重引用符または一重引用符で名前を囲みます (例: “my file” または ‘my file’)。
最大長: 31
src:
インポートまたはエクスポートする証明書バンドルのプロトコル、ホスト、およびファイル名を含むパスを指定するURL。例: http://www.example.com/cert\_bundle\_file。
注記: インポートするオブジェクトが、アクセスにクライアント証明書認証を必要とするHTTPSサーバー上にある場合、インポートは失敗します。
最大長: 2047
例:
import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle
Name : swg-certbundle(Inuse)
URL : http://www.example.com/cert_bundle
Done
<!--NeedCopy-->
Citrix SWG GUI を使用したアプライアンスでの CA 証明書バンドルのインポートと適用
- Secure Web Gateway > Getting Started > Certificate Bundles に移動します。
- 次のいずれかを実行します。
- リストから証明書バンドルを選択します。
- 新しい証明書バンドルを追加するには、「+」をクリックし、名前とソースURLを指定します。「OK」をクリックします。
- 「OK」をクリックします。
CLI を使用したアプライアンスからの CA 証明書バンドルの削除
コマンドプロンプトで、次のように入力します。
remove certBundle <cert bundle name>
<!--NeedCopy-->
例:
remove certBundle mytest-cacert
<!--NeedCopy-->
Citrix SWG CLI を使用したアプライアンスからの CA 証明書バンドルのエクスポート
コマンドプロンプトで、次のように入力します。
export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->
引数:
名前:
インポートされた証明書バンドルに割り当てる名前。ASCII英数字またはアンダースコア (_) 文字で始まり、ASCII英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、ハイフン (-) のみを含める必要があります。以下の要件はCLIにのみ適用されます。
名前に1つ以上のスペースが含まれる場合は、二重引用符または一重引用符で名前を囲みます (例: “my file” または ‘my file’)。
最大長: 31
src:
インポートまたはエクスポートする証明書バンドルのプロトコル、ホスト、およびファイル名を含むパスを指定するURL。例: http://www.example.com/cert\_bundle\_file。
注記: インポートするオブジェクトが、アクセスにクライアント証明書認証を必要とするHTTPSサーバー上にある場合、インポートは失敗します。
最大長: 2047
例:
export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->
Mozilla CA 証明書ストアからの CA 証明書バンドルのインポート、適用、および検証
コマンドプロンプトで、次のように入力します。
> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->
バンドルを適用するには、次のように入力します。
> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->
使用中の証明書バンドルを検証するには、次のように入力します。
> sh certbundle | grep mozilla
Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->
制限事項
証明書バンドルは、クラスター設定またはパーティション化されたアプライアンスではサポートされていません。