暗号化されたHTTPS接続に対応するためのJuniper ATP Cloudの有効化
まだ行っていない場合は、sslフォワードプロキシとHTTPSのマルウェア検出に使用されるssl-inspect-caを設定する必要があります。 以下に示すのは、sslフォワードプロキシを設定するための1つの例です。詳細については、「 SSL プロキシの設定」を参照してください。
運用モードから、ローカルデジタル証明書のPKI公開キー/プライベートキーペアを生成します。
request security pki generate-key-pair certificate-id certificate-id size size type type例えば:
request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa動作モードから、自己署名証明書を定義します。証明書ID (前の手順で生成)、証明書の完全修飾ドメイン名 (FQDN)、証明書を所有するエンティティの電子メール アドレスなど、証明書の詳細を指定します。
request security pki local-certificate generate-self-signed certificate-id certificate-id domain-name domain-name subject subject email email-id例えば:
request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net
完了したら、HTTPs トラフィックを検査するように SSL フォワード プロキシを構成できます。例えば:
set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-caset security policies from-zone trust to-zone untrust policy firewall-policy1 then permit application-services ssl-proxy profile-name ssl-inspect-profile
より完全な例については、「 Juniper ATP Cloudポリシーの設定」を参照してください。