Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

CSOでのSSLプロキシポリシーの設定と導入

SSLプロキシーは、セキュリティー・ポリシー内のアプリケーション・サービスとして使用可能です。SSLプロキシを有効にするトラフィックを一致条件として指定してから、トラフィックに適用するSSLプロキシプロファイルを指定します。詳細については、CSOカスタマーポータルユーザーガイド(CSOドキュメントページに掲載)のSSL転送プロキシの概要を参照してください。

手順の説明

以下は、CSOでインテントベースのSSLフォワードプロキシポリシーを構成して展開するワークフローです。

  1. 信頼された証明機関 (CA) からルート証明書と秘密キーを取得します。
  2. ルート証明書と秘密キーを 1 つのファイルに結合します。
  3. 証明書と秘密キー ファイルをインポートします。 「証明書のインポート」を参照してください。
  4. (オプション)インポートした証明書を 1 つ以上のサイトにインストールします。 「証明書のインストール」を参照してください。
  5. デフォルトでは、ジュニパーネットワークスは、HTTPSを使用するサイトに信頼できる証明書を出荷します。これらの証明書は、サイトが正常にプロビジョニングされると、CSO によって自動的にインストールされます。

    追加の信頼できる証明書を使用する場合は、手順 34 の説明に従って証明書をインポートしてインストールします。

  6. SSL プロキシ プロファイルを追加します。 SSL フォワード プロキシ プロファイルの追加を参照してください。
    メモ:

    • SSL プロキシー・プロファイルを追加する場合は、インポートしたルート証明書を使用します。

    • 信頼できる証明書の場合は、デバイス上のすべての信頼できる証明書が使用されることを指定します。
  7. 追加した SSL プロキシー・プロファイルを使用する SSL プロキシー・ポリシー・インテントを追加します。 SSLプロキシポリシーインテントの追加を参照してください。
  8. SSL プロキシ ポリシーを展開します。 SSLプロキシポリシーの展開を参照してください。
    メモ:

    • SSL プロキシーポリシーのインテントの適用方法の理解ポリシーを展開する前に、ルート証明書と信頼できる証明書が CSO にインポートされていることを確認します。

    • SSL プロキシー・プロファイルで参照されている証明書をインストールしていない場合は、SSL プロキシー・ポリシーのデプロイ時に自動的にインストールされます。

  9. SSLプロキシを使用してSRXシリーズデバイスからインターネットにアクセスする場合は、インターネットにアクセスするクライアントのブラウザにルート証明書(ステップ 1で取得)をインポートしてください。
    メモ:

    証明書をインポートしない場合、トラフィックは LAN セグメント内のクライアントを通過しません。

SSLプロキシーポリシーのインテントの適用方法の例については、 CSOカスタマーポータルユーザーガイド(CSOのドキュメントページに掲載)のSSLプロキシポリシーインテントの適用方法の理解を参照してください。

証明書のインポート

メモ:

CSO で SSL プロキシ機能を使用する場合は、テナントのルート証明書を少なくとも 1 つインポートする必要があります。その後、証明書を 1 つ以上のサイトにインストールできます。

証明書をインポートするには:

  1. カスタマー ポータルで [管理] > [証明書管理] > [証明書] を選択します。

    [証明書] ページが表示されます。

  2. [ 証明書のインポート] > [詳細] を選択します。

    [証明書のインポート] ページが表示されます。

  3. 表 1 に示すガイドラインに従って構成を完了します。
    メモ:

    * が付いているフィールドは必須です。
  4. OK をクリックします。

    [証明書] ページに戻ります。インポートした証明書の内容が正常に検証されると、確認メッセージが表示されます。そうでない場合は、エラーメッセージが表示されます。

証明書をインポートした後は、SSL プロキシ プロファイルを追加するときに使用できます。

表 1: 証明書設定のインポート

設定

ガイドライン

証明書名

証明書名を入力します。これは、英数字といくつかの特殊文字(_ -)の一意の文字列である必要があります。スペースは使用できません。最大長は 32 文字です。

証明書の種類

インポートする証明書がルート証明書 (ルート CA) か信頼できる証明書 (信頼された CA) かを指定するオプションを選択します。

パスフレーズ

プライバシー拡張メール(PEM)証明書ファイルの秘密キーまたはキーペアを保護するパスフレーズを入力します。

説明

証明書の説明を入力します。

証明書の内容

ファイルから証明書コンテンツをインポートするか、証明書コンテンツを貼り付けるかを選択します。

メモ:

  • 次の証明書ファイル拡張子がサポートされています: . cert、. pemおよび .txt

  • 証明書の内容は、X.509 ASCII 形式である必要があります。

  • ルート証明書をインポートする場合は、証明書の内容と秘密キーの両方を指定する必要があります。

証明書のファイルパス

ファイルから証明書の内容をインポートするには、[ 参照] をクリックします。表示される [ファイルのアップロード] ダイアログで、証明書ファイルを選択し、[ 開く] をクリックします。

アップロードしたファイルのファイル名が表示されます。

証明書の内容の貼り付け

証明書の内容をファイルから直接貼り付けるには、テキスト エディターで証明書ファイルを開き、証明書の内容をコピーして、テキスト ボックスに貼り付けます。

ルート証明書の内容の例を次に示します。

証明書のインストール

CSO に証明書をインポートした後、1 つ以上のサイトに証明書をインストールできます。

証明書をインストールするには:

  1. カスタマー ポータルで [管理] > [証明書管理] > [証明書] を選択します。

    [証明書] ページが表示されます。

  2. インストールする証明書を選択し、[ 証明書のインストール] > [詳細] を選択します。または、証明書を右クリックして [ 証明書のインストール] を選択します。

    [証明書のインストール] ページが表示され、サイトの一覧が表示されます。

  3. 証明書をインストールするサイトを選択します。
  4. インストール」をクリックします。

    [証明書] ページに戻ります。ジョブがトリガーされ、ジョブの ID が記載された確認メッセージが表示されます。ジョブ ID をクリックして [ジョブ] ページに移動し、ジョブの状態を表示できます。

  5. (オプション)ジョブが正常に完了した後。 証明書がサイトにインストールされたことを確認できます。[証明書] ページで、証明書を選択し 、[その他] > [インストール済みサイトの表示] を選択します。

    [インストール済みサイトの表示] ページが表示され、証明書がインストールされたサイトが一覧表示されます。

SSL フォワード プロキシ プロファイルの追加

SSL フォワード プロキシ プロファイルを追加するには:

メモ:

SSL フォワード プロキシ プロファイルを追加する前に、テナントのルート証明書がインポートされていることを確認します。「証明書」ページ(「管理」>「証明書管理」>証明書)から SSL 証明書(ルートおよびトラステッド)をインポートし、証明書を SSL 転送プロキシー・プロファイルに関連付けることができます。
  1. カスタマー ポータルで [ SSL プロキシ>プロファイル>構成 ] を選択します。

    SSL プロキシ プロファイル ページが表示されます。

  2. 追加アイコン (+) をクリックします

    SSL プロキシ プロファイルの作成 ページが表示されます。

  3. 表 2 に示すガイドラインに従って設定を完了します。
    メモ:

    アスタリスク (*) の付いたフィールドは必須です。
  4. OK をクリックします。

    「SSL プロキシー・プロファイル」ページに戻り、SSL プロキシー・プロファイルが追加されると確認メッセージが表示されます。

    SSL フォワード・プロキシー・プロファイルは、SSL プロキシー・ポリシー・インテントで使用できます。

表 2: SSL プロキシ プロファイル設定の作成

設定

ガイドライン

一般情報

  

名前

プロファイルの一意の名前を入力します。プロファイルには、英数字、ハイフン、アンダースコアを含めることができます。スペースは使用できません。最大長は 63 文字です。

説明

プロファイルの説明を入力します。最大長は 255 文字です。

優先暗号

優先暗号を選択すると、許容可能な鍵強度で使用できる SSL 暗号を定義できます。

  • なし (デフォルト):優先暗号を指定しません。

  • - キー強度が 128 ビット以上の暗号を使用します。

  • [強力(Strong)]:キー強度が 168 ビット以上の暗号方式を使用します。

  • 弱い - 鍵強度が 40 ビット以上の暗号を使用します。

  • カスタム:カスタム暗号スイートを設定します。

カスタム暗号

カスタム優先暗号を指定した場合は、SSH サーバーが暗号化および復号化機能を実行するために使用できる 1 つ以上の暗号を選択することで、カスタム暗号リストを定義できます。

  • なし:暗号化なし。

  • rsa-with-RC4-128-md5—RSA、128 ビット RC4、MD5 ハッシュ

  • rsa-with-RC4-128-sha—RSA、128-bit RC4、SHA ハッシュ

  • rsa-with-des-cbc-sha—RSA、DES/CBC、SHA ハッシュ

  • rsa-with-3DES-ede-cbc-sha—RSA、3DES EDE/CBC、SHA ハッシュ

  • rsa-with-aes-128-cbc-sha - RSA、128 ビット AES/CBC、SHA ハッシュ

  • rsa-with-aes-256-cbc-sha—RSA、256 ビット AES/CBC、SHA ハッシュ

  • rsa-export-with-rc4-40-md5—RSAエクスポート、40ビットRC4、MD5ハッシュ

  • rsa-export-with-des40-cbc-sha—RSA export、40 ビット DES/CBC、SHA ハッシュ

  • rsa-export1024-with-des-cbc-sha:RSA 1024 ビット エクスポート、DES/CBC、SHA ハッシュ

  • rsa-export1024-with-rc4-56-md5:RSA 1024 ビット エクスポート、56 ビット RC4、MD5 ハッシュ

  • rsa-export1024-with-rc4-56-sha:RSA 1024 ビット エクスポート、56 ビット RC4、SHA ハッシュ

  • rsa-with-aes-256-gcm-sha384—RSA、256 ビット AES/GCM、SHA384 ハッシュ

  • rsa-with-aes-256-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  • rsa-with-aes-128-gcm-sha256—RSA、128 ビット AES/GCM、SHA256 ハッシュ

  • rsa-with-aes-128-cbc-sha256—RSA、256 ビット AES/CBC、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-256-gcm-sha384—ECDHE、RSA、256 ビット AES/GCM、SHA384 ハッシュ

  • ecdhe-rsa-with-aes-256-cbc-sha384—ECDHE、RSA、256 ビット AES/CBC、SHA384 ハッシュ

  • ecdhe-rsa-with-aes-256-cbc-sha—ECDHE、RSA、256 ビット AES/CBC、SHA ハッシュ

  • ecdhe-rsa-with-aes-3des-ede-cbc-sha—ECDHE、RSA、3DES、EDE/CBC、SHA ハッシュ

  • ecdhe-rsa-with-aes-128-gcm-sha256—ECDHE、RSA、128 ビット AES/GCM、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-128-cbc-sha256—ECDHE、RSA、128 ビット AES/CBC、SHA256 ハッシュ

  • ecdhe-rsa-with-aes-128-cbc-sha—ECDHE、RSA、128 ビット AES/CBC、SHA ハッシュ

フロートレース

トグル ボタンをクリックしてフロー トレースを有効にし、ポリシー関連の問題のトラブルシューティングを有効にします。フロー トレースはデフォルトで無効になっています。

ルート証明書

リストからルート証明書を選択するか、[ルート証明書の追加] をクリックしてルート証明書をインポートします。

公開キー基盤 (PKI) 階層では、ルート証明機関 (CA) が信頼パスの最上位にあります。

信頼できる認証局

デバイスに存在するすべての信頼できる証明書を追加するか (すべて)、特定の信頼できる証明書を選択するか ([特定を選択]) を選択します。セキュアな接続を確立する前に、SSL プロキシーは CA 証明書をチェックして、サーバー証明書の署名を検証します。

選択した信頼できる証明書の追加を選択した場合は、既存の信頼できる証明書が表示されます。チェック ボックスをオンにして 1 つ以上の証明書を選択し、[ > ] アイコンをクリックします。選択した証明書が右側の列に表示されます。

必要に応じて、[ 信頼できる証明書の追加 ] をクリックして、信頼できる証明書をインポートします。 「証明書のインポート」を参照してください。

メモ:

  • すべての信頼できる証明書を使用するように指定すると、特定のデバイス(サイト)上のすべての信頼できる証明書がSSLポリシーの展開中に使用されます。

  • すべての信頼できる証明書を SSL フォワード プロキシ プロファイルで使用するように指定する場合は、少なくとも 1 つの信頼できる証明書がデバイスにインストールされていることを確認する必要があります。

適用除外アドレス

除外アドレスには、SSL プロキシ処理の対象から除外するアドレスが含まれます。

除外する宛先を指定するには、左側の列で1つ以上の住所を選択し 、[> ]アイコンをクリックして選択を確定します。選択したアドレスが右側の列に表示されます。これらのアドレスは、SSL フォワードプロキシ処理をバイパスする許可リストを作成するために使用されます。

SSL の暗号化と復号化は複雑でコストのかかる手順であるため、ネットワーク管理者は一部のセッションで SSL プロキシ処理を選択的にバイパスできます。

このようなセッションには、通常、ネットワーク管理者に精通している信頼できるサーバーまたはドメインとの接続とトランザクションが含まれます。金融および銀行のサイトを免除するための法的要件もあります。このような除外は、許可リストの下でサーバーの IP アドレスまたはドメイン名を構成することによって実現されます。

メモ:

[新しい住所を追加] をクリックして住所を追加することもできます。詳細については、CSO カスタマーポータルユーザーガイド(CSO ドキュメントページを参照)の「アドレスまたはアドレスグループの作成」を参照してください。

除外URLカテゴリ

左側の列で以前に定義した URL カテゴリを 1 つ以上選択し 、[> ] アイコンをクリックして選択を確定します。選択したアドレスが右側の列に表示されます。

これらの URL カテゴリは、SSL フォワードプロキシ処理をバイパスする許可リストを作成するために使用されます。選択した URL カテゴリは、SSL インスペクションから除外されます。

アクション

  

サーバー認証エラー

切り替えボタンをクリックして、CA 署名検証の失敗、自己署名証明書、証明書の有効期限など、サーバー証明書の検証プロセス中に発生したエラーを CSO が無視できるようにします。このトグル ボタンは既定で無効になっているため、サーバー認証エラーは無視されません。

認証エラーを無視すると、Web サイトがまったく認証されないため、無視することはお勧めしません。ただし、このオプションを使用すると、SSL セッションがドロップされる根本原因を効果的に特定できます。

セッションの再開

トグルボタンをクリックして、セッションの再開を有効にします。セッション再開はデフォルトで無効になっています。

スループットを向上させながら、適切なレベルのセキュリティーを維持するために、SSL セッション再開はセッション・キャッシング・メカニズムを提供し、事前マスター秘密鍵や合意された暗号などのセッション情報をクライアントとサーバーの両方でキャッシュすることができます。

ログ

ログに記録する 1 つ以上のイベントを選択します。すべてのイベント、警告、一般情報、エラー、または異なるセッション (許可、ドロップ、または無視) をログに記録することを選択できます。

既定では、イベントはログに記録されません。

交渉

SSL パラメーターの変更で再ネゴシエーションが必要な場合は、以下のいずれかのオプションを選択します。

  • なし:再ネゴシエーションは必要ありません。これは既定の設定です。

  • 許可 - セキュアおよび非セキュアで再ネゴシエーションできます。

  • セキュア許可 - セキュアネゴシエーションのみを許可します。

  • ドロップ:再ネゴシエーション要求時にセッションをドロップします。

セッションが作成され、SSL トンネル トランスポートが確立された後、SSL パラメーターの変更には再ネゴシエーションが必要です。SSL フォワード プロキシは、セキュア(RFC 5746)と非セキュア(TLS v1.0 および SSL v3)の両方の再ネゴシエーションをサポートします。

セッション再開が有効になっている場合、セッションの再ネゴシエーションは以下の状況で有効です。

  • 暗号鍵は、長時間の SSL セッションの後にリフレッシュする必要があります。

  • より安全な接続には、より強力な暗号を適用する必要があります。

SSLプロキシポリシーインテントの追加

SSLプロキシー・ポリシー・インテントでは、ソースと宛先のエンドポイントをSSLプロキシー・プロファイルに関連付けることで、後者の間にSSLプロキシーを構成できます。SSLプロキシーポリシー ページで、SSLプロキシーポリシーインテントをインラインで追加できます。

SSLプロキシー・ポリシー・インテントを追加するには:

  1. カスタマー ポータル で [SSL プロキシ>ポリシー>構成 ] を選択します。

    SSL プロキシ ポリシー ページが表示されます。

  2. 追加アイコン (+) をクリックします

    ポリシー インテントを追加するオプションは、[SSL プロキシ ポリシー] ページにインラインで表示されます。

  3. 表3に示すガイドラインに従って、ポリシーインテント情報を入力します
  4. 保存」をクリックします。

    SSLプロキシー・ポリシー・インテントが保存され、確認メッセージが表示されます。SSLプロキシー・ポリシー・インテントが追加されると、「未展開」フィールドが1つ増加し、インテントが展開待ちであることを示します。

    メモ:

    ポリシーインテントを追加したら、ポリシーを展開して変更を有効にする必要があります

表 3: SSL プロキシ ポリシーのインテント設定の追加

設定

ガイドライン

[名前]

最初のテキスト ボックスに SSL プロキシ ポリシー インテントの名前を入力します。名前を入力しない場合は、システムによって生成された名前が使用されます。入力する名前は英数字で始まる必要があり、英数字と一部の特殊文字 (- _) を含めることができます。最大長は 63 文字です。

[説明]

2 番目のテキスト ボックスに SSL プロキシ ポリシー インテントの説明を入力します。

ソース

次のソースエンドポイントを 1 つ以上選択します。

  • IP アドレスまたは IP アドレス グループ

  • サイト

  • サイトグループ

  • 担当部署

SSLプロキシポリシーインテントのデフォルトソースは [すべてのサイト]です。ソースを追加しない場合は、デフォルトが使用されます。

メモ:

送信元 IP アドレスの値 Any は、任意のサイトからの任意の IP アドレスを意味します。

次の宛先エンドポイントを 1 つ以上選択します。

  • IP アドレスまたはアドレス グループ

  • サイト

  • サイトグループ

  • 担当部署

SSLプロキシー・ポリシー・インテントのデフォルトの宛先は インターネットです。宛先を追加しない場合は、デフォルトが使用されます。

メモ:

宛先 IP アドレス値 Any は、インターネットに向かうトラフィック (任意のアドレス) を意味します。サイト内のトラフィック (内部トラフィック) は、宛先 IP アドレス値 Any ではカバーされません。

2 つのサイト間のトラフィックをカバーする場合は、サイトが送信元エンドポイントと宛先エンドポイントの両方に含まれていることを確認します。

SSL プロキシ プロファイル

以下のいずれかの方法で、SSLプロキシー・ポリシー・インテントに関連付けるSSLプロキシー・プロファイルを指定します:

  • 追加アイコン(+)をクリックし、以前に構成したプロファイルのリストから SSL プロキシー・プロファイルを選択します。

  • SSL プロキシ プロファイル フィールドに検索語を入力してプロファイルをフィルタリングし、プロファイルを選択します。

  • SSL プロキシ プロファイルの追加: [新しいプロファイルの追加(Add New Profile )] リンクをクリックします。 SSL フォワード プロキシ プロファイルの追加を参照してください。

  • [ その他の結果の表示 ] リンクをクリックして、追加の構成済みプロファイルを表示します。SSL プロキシー・プロファイルのリストが、右側の 「エンドポイント 」パネルに表示されます。

    プロファイルを追加するには、プロファイルを選択し、プロファイルにカーソルを合わせたときに表示されるチェックマークアイコン()をクリックします。

SSLプロキシ ポリシーの展開

1 つ以上の SSL プロキシー・ポリシー・インテントを追加した後、SSL プロキシー・ポリシーを展開する必要があります。

SSL プロキシ ポリシーを展開するには:

  1. [構成] > [SSL プロキシ > ポリシー] を選択します。

    SSL プロキシ ポリシー ページは現われます

  2. [ デプロイ] をクリックします。

    [デプロイ] ページが表示されます。

  3. [展開時間の選択] フィールドで、次を選択します。

    • 今すぐ実行 して、ポリシーの展開をすぐにトリガーします。

    • 後でスケジュールして、後で展開をスケジュールします。

      後で展開をスケジュールする場合は、展開を実行する日付 (MM/DD/YYYY 形式) と時刻 (HH:MM:SS 24 時間形式または AM/PM 形式) を入力します。CSO GUI にアクセスするクライアントのローカルタイムゾーンで時間を指定します。

  4. OK をクリックします。

    [SSL プロキシ ポリシー(SSL プロキシ ポリシー)] ページに戻り、ポリシーを展開するジョブがトリガーされます。デプロイの状態は、[ジョブ] ページ (> ジョブの監視) で確認できます。ジョブが正常に完了すると、SSL プロキシ ポリシーが展開されたことを意味します。[SSL プロキシ ポリシー] ページの [未展開] フィールドは 0 である必要があります。

関連ドキュメント