暗号化されたHTTPS接続のためにJuniper ATPクラウドを有効にする
まだ行っていない場合は、sslフォワードプロキシとHTTP内のマルウェアの検出に使用されるssl-inspect-caを設定する必要があります。 次に示すのは、sslフォワードプロキシを設定するための一例です。詳細については、 SSL プロキシの設定を参照してください。
動作モードから、ローカルデジタル証明書の PKI 公開鍵と秘密鍵のペアを生成します。
user@host > request security pki generate-key-pair certificate-id certificate-id size size type type例えば:
user@host > request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa運用モードから、自己署名証明書を定義します。証明書識別子 (前の手順で生成)、証明書の完全修飾ドメイン名、証明書を所有するエンティティの電子メール アドレスなどの証明書の詳細を指定します。
user@host > request security pki local-certificate generate-self-signed certificate-id certificate-id domain-name domain-name subject subject email email-id例えば:
user@host > request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net
完了したら、HTTPトラフィックを検査するようにSSLフォワードプロキシを構成できます。例えば:
user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca user@host# set security policies from-zone trust to-zone untrust policy firewall-policy1 then permit application-services ssl-proxy profile-name ssl-inspect-profile
より完全な例については、 例:Juniper Advanced Threat Preventionクラウドポリシーの設定を参照してください。