※この記事は以下の記事の日本語訳です。
How to Install a Chained Certificate Signed by a Public CA
概要
Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関(CA)によって署名された証明書を以下の用途に使うことができます:
- Captive Portal ("CP") ページ
- レスポンス ページ
- GlobalProtect ("GP") ポータル
多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。
手順
1. 証明書のリクエスト
ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。
もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。
How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate
2. 証明書の連結
証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。
各証明書を取得する手順は以下の通りです:
- CAから送られてきた"サーバー証明書"を開きます。
- ウィンドウズにおいては証明書のダイアログ ボックスには"全般"、"詳細"、"証明のパス"の三つのタブが存在します。
- "証明のパス"をクリックし、一番下から一つ上の証明書をクリックします。
- その証明書を開き、詳細タブをクリックします。そしてテキストファイルにコピーします。
- そのファイルをBase-64 エンコード X.509 (.CER) フォーマットの証明書として保存します。
- 同様の手順を一番上のルート証明書以外の全ての証明書に対して行います。
- それぞれの .CER 証明書ファイルをプレーン テキスト エディタ (メモ帳など)で開きます。
- サーバー証明書を先頭に、各証明書を間を開けずに貼り付けていきます。
- 拡張子を .TXT または .CER にして保存します。
注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。
3. 証明書のインポート
前述の手順で連結した証明書をファイアウォールにインポートします。
- PAN-OS 4.1以前のバージョンでは, 秘密鍵をこの証明書と共にインポートする必要があります。詳細は上記手順1を参照してください。OpenSSLでCSRを生成する際に秘密鍵が生成されます。
- PAN-OS 5.0においては、秘密鍵は既にファイアウォール上に存在します。証明書のインポートをするためには、以下のドキュメントに書かれた手順を参照してください。
How to Generate a CSR and Import the Signed CA Certificate
