ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 macOS X 10.13 & iOS 11 - New Requirements for GlobalProtect Connections https://live.paloaltonetworks.com/t5/Configuration-Articles/macOS-X-10-13-amp-iOS-11-New-Requirements-for-GlobalProtect/ta-p/179049 この情報の入手先についてはAppleのサポート記事 https://support.apple.com/en-us/HT207828（英文）https://support.apple.com/ja-jp/HT207828（日本語）を参照してください。   要約するとこれらのリリースには次の要件が含まれています: SHA-1 証明書を使用した TLS 接続はサポートされなくなります。TLS サービスの管理者の方は、SHA-2 証明書を使うようにサービスをアップデートしてください。 すべての TLS 接続において、RSA 鍵長が 2048 ビット未満の証明書は信頼対象から除外されます。 TLS 1.2 を EAP-TLS ネゴシエーションのデフォルトとして使用します。このデフォルト設定は、構成プロファイルで変更できます。古いクライアントでは引き続き 1.0 が必要な場合もあります。 注: GlobalProtect ポータルとゲートウェイの"SSL/TLS サービス プロファイルの最大バージョンが"TLSv1.1"と設定されている場合、iOS 11とMac OS X 10.13のどちらのシステムでも接続を確立できます。最大バージョンが"TLSv1.2"または "max"に設定された状態で設定がコミットされると、GlobalProtect エージェントは接続に成功します。   iOS 11における変更点（原文） Security iOS 11, tvOS 11, and Mac OS High Sierra include the following changes to TLS connections: Removes support for TLS connections using   SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy. macOS High Sierra における変更点（原文） Security macOS High Sierra, tvOS 11, and iOS 11 include the following changes to TLS connections: Removes support for TLS connections using SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates. Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections. Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0. Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy.   著者: jjosephs

※この記事は以下の記事の日本語訳です。 GlobalProtect failed to connect - required client certificate is not found https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-failed-to-connect-required-client-certificate-is/ta-p/70192 問題 2要素認証を使用するように認証プロファイルと証明書プロファイルをGlobalProtect ポータルとゲートウェイで構成しましたが、クライアント コンピューターでGlobalProtectに接続しようとした際に、GlobalProtect クライアントのステータス ページに以下のエラーメッセージが表示されます: "Required Client Certificate is not found"   また、PanGP サービス ログでは以下のエラー メッセージが表示されます: Debug(3624): Failed to pre-login to the portal XX.XX.XX.XX. Error 0 Debug(1594): close WinHttp close handle. Debug(3588): prelogin status is Error Error(3591): pre-login error message: Valid client certificate is required Debug(1594): close WinHttp close handle. Debug(4213): portal status is Client Cert Required. Debug(3697): Portal required client certificate is not found.   解決方法 これらのエラーはクライアント コンピュータに正しい/有効な証明書がないため発生します。 クライアント マシンにインポートされた証明書はGlobalProtect ポータル及びゲートウェイで設定されたサーバ証明書と一致する必要があります。 自己署名証明書の場合は、"個人"及び"信頼されたルート証明機関"の両方にインポートする必要があります。 クライアント コンピュータに証明書をインポートする方法については、ここをクリックして"step 2"を参照してください。   次の手順に従い、P12形式の証明書をクライアント コンピュータ(Windows マシン)にインポートします:   スタートをクリックし、mmcを実行します。 ファイル > スナップインの追加と削除をクリックします。 スナップインから"証明書"を選択し、追加をクリック、コンピューター アカウントを選択し完了をクリックします。 OKをクリックしスナップインの追加と削除を閉じます。 "個人"と"信頼された証明機関"に証明書をインポートします。

※この記事は以下の記事の日本語訳です。 Certificate config for GlobalProtect - (SSL/TLS, Client cert profiles, client/machine cert) https://live.paloaltonetworks.com/t5/Configuration-Articles/Certificate-config-for-GlobalProtect-SSL-TLS-Client-cert/ta-p/131592   この文書はGlobalProtectセットアップにおける証明書の設定の基礎について説明します。この文書でカバーされないGlobalProtect用の証明書の展開方法もありうることを、ご承知おきください。   A. SSL/TLS サービス プロファイル - ポータル/ゲートウェイのサーバー証明書用。ポータル/ゲートウェイはこれを一つ必要とします。 B. 証明書プロファイル（必要に応じて） - ポータル/ゲートウェイがクライアント/マシン証明書を要求するために使用します。 C. クライアント機器へのクライアント/マシン証明書のインストール     A. SSL/TLS サービス プロファイル GlobalProtectの枠組みにおいて、このプロファイルはGlobalProtectポータル/ゲートウェイの"サーバー証明書"と、SSL/TLSプロトコルのバージョン範囲の規定に使用されます。同じインターフェイスがポータルとゲートウェイ両方に使われている場合、同じSSL/TLS サービス プロファイルをポータル/ゲートウェイに使用できます。異なるインターフェイスで ポータル/ゲートウェイを通して提供する場合、証明書が両方のポータル/ゲートウェイのIP/FQDNをそのサブジェクト代替名(SAN)に含んでいれば同じSSL/TLS サービス プロファイルを使用できます。含んでいない場合は、ポータルとゲートウェイにそれぞれ異なるプロファイル作成します。   SSL/TLS サービス プロファイルに"サーバー証明書"とそのチェーンをインポート/生成するには、以下のとおり操作します。 外部で作成した証明書をインポートするには、Device > 証明書の管理 > 証明書 に移動し、下部にある'インポート'をクリックします。 ファイアウォールで証明書を生成するには、Device > 証明書の管理 > 証明書 に移動し、下部にある'生成'をクリックします。   サーバー証明書が公なサードパーティ認証局や内部のPKIサーバーによって署名されている場合 1. ルート認証局証明書をインポートします（秘密鍵のインポートはオプションです）。 2. 中間認証局証明書がある場合はインポートします （秘密鍵のインポートはオプションです）。 3. 上記の認証局によって署名された証明書を秘密鍵とともにインポートします。     重要！ サブジェクト代替名（SAN）がない証明書の場合：この証明書の共通名（CN）はポータル/ゲートウェイのIPまたはFQDNにマッチしなければなりません。 サブジェクト代替名が１つ以上存在する場合、そのポータル/ゲートウェイで使用されるIPかFQDNは、SANのリストの中の一つにマッチしなければなりません。 認証局であってはなりません。エンド エンティティでなければなりません。 ベスト プラクティスとして、IPよりFQDNの使用が望ましいです。設定上、およびエンドユーザーによるGlobalProtect クライアント上での"ポータル："欄での入力において、FQDN/IPを一貫して使用するようにしてください。例えば、ポータル/ゲートウェイがFQDN   'vpn.xyz.com' かIP '1.1.1.1'で到達できるとします。証明書の参照が'vpn.xyz.com'であれば、ユーザーは1.1.1.1ではなく、'vpn.xyz.com'を使用しなければなりません。   4. SSL/TLS サービス プロファイル (  Device > 証明書の管理 > SSL/TLS サービス プロファイルにあります） 名前 - 任意の名前を入力します 証明書   - 前述の手順3のサーバー証明書を参照します プロトコル設定   - クライアント サーバー間のsslトランザクションで使用されるssl/tlsの最小と最大のバージョンを選択します   5. このSSL/TLS サービス プロファイルを、必要なポータル/ゲートウェイで参照します。   サーバー証明書をPalo Alto Networksファイアウォールで生成する必要がある場合 1. ルート証明書をユニークな共通名（ポータル/ゲートウェイのIP、FQDN以外）で生成します   ( Device > 証明書の管理 > 証明書にて下部の "生成"をクリックします）   2. （オプション ）上記のルート証明書で署名をした中間証明書を生成します。共通名はユニークなもの（ポータル/ゲートウェイのIP、FQDN以外）にします。   3. 上記の中間証明書で署名されたサーバー証明書を生成 a. この証明書の共通名は、サブジェクト代替名（SAN）が存在しない場合、ポータル/ゲートウェイのIPかFQDNにマッチ思案ければなりません。Palo Alto Networks ファイアウォールではSANは'証明書の属性'のタイプを'Host Name'、'IP'、'Email'で作成できます。 b. 一つ以上のSANがある場合、ポータル/ゲートウェイで使用するIPかFQDNがSANのリストに存在しなければなりません。 c.  認証局であってはいけません。 d. 実践においては、IPではなくFQDNの使用が望ましいです。 設定上、およびエンドユーザーによるGlobalProtect クライアント上での"ポータル："欄での入力において、FQDN/IPを一貫して使用するようにしてください。例えば、ポータル/ゲートウェイがFQDN   'vpn.xyz.com' かIP '1.1.1.1'で到達できるとします。証明書の参照が'vpn.xyz.com'であれば、ユーザーは1.1.1.1ではなく、'vpn.xyz.com'を使用しなければなりません。        4. SSL/TLS サービス プロファイル (  Device > 証明書の管理 > SSL/TLS サービス プロファイルにあります） 名前 - 任意の名前を入力します 証明書   - 前述の手順3のサーバー証明書を参照します プロトコル設定   - クライアント サーバー間のsslトランザクションで使用されるssl/tlsの最小と最大のバージョンを選択します    5. このSSL/TLS サ ービス プロファイルを、必要なポータル/ゲートウェイで参照します。   B. 証明書プロファイル ( Device > 証明書の管理 > 証明書プロファイルにあります） 証明書プロファイルは認証局と中間認証局のリストを定義します。証明書プロファイルが設定上で適用されると、ポータル/ゲートウエイは、証明書プロファイルの認証局または中間認証局で署名されたクライアント/マシン証明書クライアント証明書を、クライアントに要求します。このプロファイルにはルート認証局だけでなく、中間認証局も設定することを奨めます。    重要！ - 'user-logon’/'on-demand'が接続方式となっているとクライアント証明書はユーザーの証明書となり、ユーザーの認証に使用されます。 - 'pre-logon'が接続方式となっているとクライアント証明書はマシン証明書となり、ユーザーではなく、機器の認証に使用されます。   1. クライアント/マシン証明書を署名したルート認証局をDevice > 証明書の管理 > 証明書  にて インポートします（秘密鍵はオプション）。 2. クライアント/マシン証明書を署名した中間認証局がある場合は、Device > 証明書の管理 > 証明書 にてインポートします （秘密鍵はオプション）。 3. Device > 証明書の管理 > 証明書プロファイル に移動して、追加をクリックします。 4. プロファイルの名前を入力します。 5. 手順１と２のルート認証局証明書と中間認証局証明書を追加します。   6. 注： ユーザー名フィールドはデフォルトで'None'となっており、典型的なセットアップではLDAP/RADIUS認証から引用されるので、'None'のままとしておくことができます。一方、証明書のみによる認証の場合（つまりポータル/ゲートウェイが使用するRADIUS/LDAPがない場合）、ユーザー名フィールドはユーザー名をクライアント証明書の共通名またはEmail/プリンシパル名から抽出するために'None'から'サブジェクト'または'サブジェクト代替名'に変更しなければなりません。さもないとCommit失敗となります。   7. （オプション）CRLまたはOSCPによるクライアント/マシン証明書の無効化ステータスの確認が必要な場合、'証明書状態が不明な場合にセッションをブロック'をチェックしていると、クライアントの接続に失敗しますのでご注意ください。   8. この証明書プロファイルを必要なポータル/ゲートウェイから参照します。   C. クライアント/マシン証明書をクライアント端末にインストール   クライアント/マシン証明書をインポートする際、秘密鍵を含むPKCSフォーマットでインポートを行ってください。   Windows での手順を以下に説明します。   1.スタート > ファイル名を指定して実行にてmmcを入力して、Microsoft 管理コンソールを開きます： 2. ファイル > スナップインの追加と削除をクリックします。     重要！ 3. 証明書 > 追加 を行い、以下のどちらか、ないしは両方を行います：     a. クライアント（ユーザー）証明書を'ユーザー アカウント'を選択して追加します。これは  ' user-logon 'と' on-demand 'で ユーザーを認証するためです。 b. マシン（機器）証明書を'コンピューター アカウント'を選択して追加します。これは  ' pre-logon ' でマシンを認証するためです。             4. クライアント/マシン証明書をmmcにインポートします。 a. クライアント証明書をインポートする場合、'証明書-現在のユーザー'下の'個人'フォルダにインポートします。 b. マシン証明書をインポートする場合、'証明書（ローカル コンピューター）' 下の'個人'フォルダにインポートします。         5. 同様にルート認証局証明書を'信頼されたルート証明機関'に、（あれば）中間認証局証明書を'中間証明機関'にインポートします。     重要！ 6. 一旦インポートしたら、インポートしたクライアント/マシン証明書をダブルクリックして、以下を確認します。 a. 秘密鍵（訳注：日本語版Windowsでは"秘密キー"と表記されます）を持っているか。 b. ルート認証局までの完全な証明書チェーンがあるか。もしルート認証局や中間認証局までのチェーンに欠落がある場合は、手順５での説明に従い、それらの認証局証明書を該当するフォルダーにインポートします。           7.この時点で証明書はクライアントにインストールされていますので、mmcコンソールをセーブすることなくクローズして構いません。

※この記事は以下の記事の日本語訳です。 GlobalProtect app on Android 6.0+ cannot establish VPN connection using IP address https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-app-on-Android-6-0-cannot-establish-VPN-connection/ta-p/140190   事象 以下の状況において、Android 6.0以降の GlobalProtect アプリ でVPNを接続できない場合があります：   GlobalProtect ポータル/ゲートウェイの証明書を証明する ルートCA 証明書がAndroid 端末にインストールされている GlobalProtect ポータル/ゲートウェイの証明書の コモンネーム (Common Name, CN) が IP アドレスになっている   接続できない状況では、次のメッセージが表示されます : Cannot connect to GlobalProtect portal     GlobalProtect アプリケーションで取得する Gp.log では、以下のようなエラーが出力されます: (6227)01/05 17:55:33:120201 - javax.net.ssl.SSLPeerUnverifiedException: Hostname 192.168.206.1 not verified: certificate: sha1/5BHzss0x9EpOd9YtEPZcwtCNaOQ= DN: CN=192.168.206.1,ST=Tokyo,C=JP subjectAltNames: [192.168.206.1] (6227)01/05 17:55:33:120352 - exception GetHttpResponse, response code is 0 (6227)01/05 17:55:33:120521 - response from server is: null, exception Message: Hostname 192.168.206.1 not verified: certificate: sha1/5BHzss0x9EpOd9YtEPZcwtCNaOQ= DN: CN=192.168.206.1,ST=Tokyo,C=JP subjectAltNames: [192.168.206.1] eType:javax.net.ssl.SSLPeerUnverifiedException: Hostname 192.168.206.1 not verified: certificate: sha1/5BHzss0x9EpOd9YtEPZcwtCNaOQ= DN: CN=192.168.206.1,ST=Tokyo,C=JP subjectAltNames: [192.168.206.1] (6227)01/05 17:55:33:120557 - (l5)JNI,6243,508,not handled, ret=error, javax.net.ssl.SSLPeerUnverifiedException: Hostname 192.168.206.1 not verified: certificate: sha1/5BHzss0x9EpOd9YtEPZcwtCNaOQ= DN: CN=192.168.206.1,ST=Tokyo,C=JP subjectAltNames: [192.168.206.1], return NULL now     原因 これはアンドロイドOS 6.0以降における新しい挙動によるものです。   Android 6.0より、証明書の CN が IP アドレスである場合、その IP アドレスは「サブジェクトの別名 (Subject Alternative Name, subAltName, SAN)」にも存在していることを確認します。もし IP アドレスが subAltName に存在しない場合、証明書の検証に失敗します。 古い バージョンの Android では、CN が一致している場合には検証に成功します。       解決策 GlobalProtect ポータル/ゲートウェイの証明書として iPAddress subAltName フィールドを持つような証明書を生成し、既存の証明書を置き換えます。   以下のスクリーンショットでは、Palo Alto Netrwork 次世代ファイアウォールで iPAddress subAltName を設定する方法を示しています。   証明書の生成時、Type に "IP" を追加し、IP アドレスを Value フィールドに入力します。     生成された証明書には Subject Alternative Name にIPアドレスが存在しています :   この証明書をGlobalProtect ポータル/ゲートウェイの証明書として設定します。その後、VPN接続が確立可能となります。   GlobalProtect 用のサーバ証明書の設定方法は以下のガイドをご確認ください:  Deploy Server Certificates to the GlobalProtect Components      他の方法として、GlobalProtect Portal / Gateway を証明するルートCA証明書をAndroid端末から削除する方法があります。(多くの場合 "Setting > Security > Trusted credentials" から可能)   この場合、GlobalProtect アプリは"信頼できない証明書"であることを示す警告を一度表示し、その後接続が確立されます。       この方法は、ユーザ自身によるVPN接続先の正当性の確認が必要となるため、推奨されません。  

※この記事は以下の記事の日本語訳です。 How to Create Subordinate CA Certificates with Microsoft Certificate Server https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Create-Subordinate-CA-Certificates-with-Microsoft/ta-p/58046   概要 この文書はMicrosoft Certificate Serverを使用した下位CA証明書の作成方法について記載します。 " http:// <IPアドレスまたはサーバー名>/certsrv"をブラウザで開き、サーバーの画面にアクセスします。 "Welcome"画面にて、"Request a Certificate"を選択します。 次の画面で"advanced certificate request"を選択します。 "Create and Submit a request to the CA"を選択します。 次の画面のフォームで、"Certificate Template"のプルダウン メニューから"Subordinate Certification Authority"を選択します。証明書のための必要事項を入力します（名前、連絡先など）。申請を行うとローカル システムに証明書をダウンロードするためのリンクが表示されます。 ダウンロード後、ローカルの証明書ストアから証明書をエクスポートします。"Internet Options"画面にて"Content"タブを選択し、"Certificates"ボタンをクリックします。新しい証明書をPersonal証明書ストアからエスクポートすることができます。 "Certificate Export Wizard"を表示するには、"Export"ボタンをクリックします。 "Certificate Export Wizard"画面にて、"Yes, export the private key"を選択し、続いてフォーマットを選択します。パスワードとファイル名、保存場所を指定します。   Microsoft Certificate Serverは、おそらく証明書をPFXフォーマット(PKCS #12)で提供しています。 証明書をPEMフォーマットでエクスポートするには、以下の手順で行います。 openSSLを使い、 openssl pkcs12 –in pfxfilename.pfx –out tempfile.pem と入力します。 "tempfile.pem"をテキスト エディターで開きます。 -----BEGIN RSA PRIVATE KEY----- で始まっているセクションを見つけます。 -----END RSA PRIVATE KEY----- までの全テキストを選択し、新しいファイルに貼り付けて、拡張子".key"をつけて保存します。 ".pem"ファイルからそれ以外のテキストをコピーし、別のファイルに貼り付け、拡張子".crt"をつけて保存します。 上記の手順により、keyファイルと証明書をインポートすることができます。   CLIコマンド お客様のルートCAがWebインターフェイスを備えていない場合もあり、その場合はCLIを通して 同じ操作を 行うことができます。 Microsoft CAにおけるコマンド：   certreq -submit -attrib "CertificateTemplate:SubCA" <certificate-signing-request>.csr   このコマンドを入力することでGUIプロンプトが表示され、そのプロンプトで申請するCAを選択します。通常、同じサーバ上にはルートCAは1つだけなので、表示されているCAを選択します。 その後、該当する申請がCAサーバーの保留中の申請の中に表示されます。     著者：panagent

※この記事は以下の記事の日本語訳です。 Resolving the URL Category in Decryption When Multiple URLs Use the Same IP https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-the-URL-Category-in-Decryption-When-Multiple-URLs-Use/ta-p/62573   PAN-OS 6.0 問題 Google のように同一 IP アドレスに紐付く複数の Web サービス (Google ドライブ、翻訳、ウェブ検索、Google+、マップ、Google Play、Gmail、カレンダーなど) がある場合に問題が発生します。   DNS が www.google.com と www.drive.google.com の両方を同じ IP アドレス（例：173.194.78.189）に解決する場合、ホストは google.com と drive.google.com の両方で同じ IP アドレスを使用します。そのため、最初のセッションで処理されるトラフィックが www.google.com の場合、ローカル キャッシュは IP アドレス 173.194.78.189 を "search-engines" にマッピングします。その後、次のホストが同じ宛先 IP アドレスを使用して www.drive.google.com にアクセスした場合、URL カテゴリは "online-personal-storage" ではなく "search-engines" にマッピングされます。 "online-personal-storage" のカテゴリを復号化するように設定された復号化ポリシーは、"search-engines" にマッピングされたトラフィックにマッチしないので、drive.google.com へアクセスした際のトラフィックは復号化されません。   詳細 SSL 復号化に関する問題のトラブルシューティングの際には、まず初めに復号化メカニズムが URL  カテゴリとどのように機能するかを理解することが肝心です。セキュアな SSL トンネルを確立するために、クライアントとサーバーは SSL ハンドシェイクを実施し、クライアントは通常、サーバ証明書に基づいてサーバーを認証します。HTTPS 接続は常にクライアントによって開始され、最初にサーバー URL を名前解決した後、名前解決した IP アドレス宛に Client Hello メッセージを送信します。クライアントはサーバー側からサーバー証明書を含む応答を待ちます。   適切な URL カテゴリに解決した上で、SSL トラフィックを復号化するかどうかを決定するために、Palo Alto Networks ファイアウォールはサーバーから受信した証明書のコモン ネーム (CN) フィールドを使用します。そのため、URL のカテゴリ識別はサーバー証明書の CN フィールドに基づいて行われます。解決された URL カテゴリはクライアント側から送信されたパケットの宛先 IP アドレスにマッピングされます。URL カテゴリを識別する処理を高速化するために、ファイアウォールはローカル キャッシュ メモリに各 URL と宛先 IP アドレスのマッピング情報を格納します。したがって、次に同じ宛先 IP アドレスへの SSL トラフィックが発生した際は、既にローカル キャッシュ ファイルに格納されている URL カテゴリで解決されます。復号化のための URL カテゴリのメカニズムは次のようになります: ファイアウォールによって Client Hello メッセージがインターセプトされます ファイアウォールはパケットの宛先 IP を決定します ファイアウォールは宛先 IP とローカル キャッシュ メモリに保存されている IP, URL カテゴリのマッピングリストを比較します リストに同じ IP が存在した場合、URL カテゴリはローカル キャッシュ メモリのリストで識別されます ローカル キャッシュのリストに同じ IP が存在しなかった場合、ファイアウォールはサーバー証明書の CN フィールドを確認するために、サーバーからの応答を待ちます URL カテゴリ識別が CN フィールドに基づいて行われ、サーバーの IP と URL カテゴリがマッピングされるとともに、次回以降に利用するためにローカル キャッシュ メモリのリストに追加されます   解決方法 PAN-OS 6.0 以降では SSL 復号化の適正化を目的として URL のカテゴリ識別の新しい方法を導入しました。この新しい方法はサーバー証明書の CN フィールドに基づくのではなく、SSL Client Hello メッセージの SNI (Server Name Indication) 値に基づきます。この方法を使用すると各状況下で Palo Alto Networks のファイアウォールがアップ ストリーム トラフィックの URL カテゴリを適切に識別し、その情報を基に正しい復号化ポリシーを適用することができます。     注意: Windows XP の最終バージョンである IE 8.0 のような古いバージョンのブラウザでは SNI フィールドはサポートされていません。そのため、SNI を用いたこの解決方法は Windows XP や古いバージョンのブラウザを使用しているクライアントでは機能せず、引き続き CN フィールドを用いて識別されます。   著者: djoksimovic  

※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect SSO with Pre-Logon Access using Self-Signed Certificates https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-SSO-with-Pre-Logon-Access-using/ta-p/56297     概要 本文書には、自己署名証明書を使用した"Pre-Logon"方法で、GlobalProtect SSOを設定する方法が記載されています。   手順 下記の設定例は、同じPalo Alto Networksデバイス上に、1つのポータルと1つのゲートウェイがある場合のものですが、複数のゲートウェイ設定に拡張することができます。ローカル データベース認証は今回の例のために使用されていますが、他の認証方法 (LDAP、Kerberos、Radiusなど) も適用することができます。 ルート認証機関 (CA) 証明書をPalo Alto Networksデバイス上で生成します。これは、GlobalProtectポータルとゲートウェイ用のサーバー証明書に署名するために使われます。クライアント コンピューターに導入される、コンピュータ証明書も同様です。 サーバー証明書とコンピューター証明書を生成します。各証明書は、手順1で作成したCA証明書によって署名される必要があります。 GlobalProtectに関連付けられたデバイスの証明書は、以下のように表示されます： 証明書プロファイルを作成します。これは、CA証明書と相互に確認する際に、コンピューター証明書が有効かどうかを確認するために使われます。 CA証明書を追加する際は、CA証明書をリストから選択してください。 GobalProtect ポータルを以下のように作成します： "ポータル設定"にて、"ネットワーク設定"と"認証"を設定します。"サーバー証明書"には、上記の手順3で作成したサーバー証明書を選択します。"証明書プロファイル"には、手順4で作成したプロファイルを選択します。 "クライアント設定"にて、設定ファイルを作成します。これは、クライアントが最初に接続にしにいく際や、ネットワークの再検出をする際に、GlobalProtectのクライアントに展開されます。 "接続方式"で"pre-logon"を選択し、クライアント用に"pre-logon"設定ファイルを作成します。"pre-logon"ユーザーを含むすべてのユーザーが同じ設定ファイルを取得できるように、"any"ユーザーの設定ファイルも作成します。"信頼されたルート CA"にて、手順1で作成したルートCAを追加します。この証明書は、接続しているエージェントに展開されます。 GlobalProtect ゲートウェイの設定例は以下のとおりです。GlobalProtect ポータルの設定で使われているものと同じ"サーバー証明書"と"証明書プロファイル"が使用されていることを確認します。 下記図はGlobalProtect ゲートウェイの設定を表しており、tunnel.1 (L3-Trust ゾーン)にてユーザーを終端し、内部の信頼されたネットワーク (192.168.144.0/24) に対してだけ有効なアクセス ルートを持つ192.168.200.0/24 のスコープを使用する、という設定を表しています。 次の手順は、ローカル コンピューター上の信頼された証明書に追加されることになる、コンピューター証明書をエクスポートすることです。"ファイル フォーマット"として"PKCS12"を使用し、パスフレーズを入力します。 クライアント コンピューター上で、上記でエクスポートしたコンピューター証明書をインポートします。下記図は、ローカル コンピューター上でのMMC証明書のスナップ インの使用方法を表しています。 これにより、"Certificate Import Wizard"が起動します。以下の手順に従って、インポートを完了させます。今回の例における証明書の場合は、"PKCS12"というフォーマットでエクスポートされていました。正しい証明書が見つけられていることを確認します。 ローカル コンピューターの個人証明書ストアに、その証明書がインストールされていることを確認します。 Syslogは、ユーザー資格情報を使ってエージェントが接続に成功している最初の接続を示しています。その後、コンピューターからログオフします。その後もコンピューターが続けて、"pre-logon"ユーザーとしてCA証明書によって有効だとされたコンピューター証明書を使って、GlobalProtectポータルとゲートウェイに問題なく接続できることを確認します。     著者：rkalugdan

※この記事は以下の記事の日本語訳です。 How to Generate a New Self-Signed SSL Certificate https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Generate-a-New-Self-Signed-SSL-Certificate/ta-p/53215   概要 デバイスに独自の証明書をロードしたくない場合やデフォルトの自己署名証明書を使用したくない場合は、新しい自己署名証明書を Web インタフェースまたは CLI を使用して生成することができます。 この新しい自己署名証明書は、SSL 復号化または GlobalProtect ポータルまたはゲートウェイ証明書に使用することができます。     手順 1. WebGUI から [デバイス]> [証明書]に移動します。 2. 画面の一番下の Genarate をクリックします。 3. 証明書の目的の詳細を入力します。ここで入力した詳細は、ブラウザを使用して暗号化されたセッションの CA 証明書を表示する場合ユーザーが見るものとなります。 注: 365日（1年）より長い有効期限を持つ証明書を作成したい場合は、証明書を作成する前に Expiration (days) を 365 より大きい値に変更してください。   4. Generate Certificate ウインドウで Generate をクリックします:   5. 証明書が正しく作成されたことを確認するために、新たに生成された証明書をクリックしてください。 注: SSL 復号化のためにこの証明書を使用している場合は、 "Forward Trust Certificate" と "Forward Untrust Certificate" にチェックを入れます。証明書を削除する場合、両方のオプションのチェックを外さないとエラーが生成されます。   6. 変更をコミットします。コミット処理が完了すると、自己署名 CA 証明書はインストールされます。   CLI CLIでは、新しい自己署名証明書を作成するには次のコマンドを <すべて1行として> 実行します。（ 5.0 から 6.1 ）   > request certificate self-signed country-code US email support @ paloaltonetworks.com locality Alviso state CA organization “Palo Alto Networks” organization-unit “Session inspected by policy” nbits 1024 name “SSL Inspection” passphrase bubba for-use-by ssl-decryption   6.0 の CLI コマンドに関する追加情報は、以下記事を参照してください: Command Line Interface ( CLI ) Reference Guide Release 6.0   7.0 の場合、非常にシンプルな自己署名証明書を以下のコマンドで作成することができます:   > request certificate generate name "Firewall-a" certificate-name "ssl test"   CLI 行で次に使えるコマンドを確認するために、常時 <tab> または "？" を使用することができます。   7.0 におけるCLIおよび管理情報の追加情報ついては、こちらの記事を参照してください: Palo Alto Networks Documentation for PAN-OS 7.0   owner: jebel  

※この記事は以下の記事の日本語訳です。 SSL 3.0 MITM Attack (CVE-2014-3566) (PAN-SA-2014-0005) aka Poodle https://live.paloaltonetworks.com/t5/Threat-Articles/SSL-3-0-MITM-Attack-CVE-2014-3566-PAN-SA-2014-0005-aka-Poodle/ta-p/61856     詳細 本脆弱性の詳細につきましては、以下のセキュリティ アドバイザリを参照してください。 Palo Alto Networks Product Vulnerability - Security Advisories  (英文)   本文書ではセキュリティ アドバイザリに補足する形で詳細を記載します。Palo Alto Networks は本脆弱性に対応するために、製品毎に別の変更を施しています。本文書で記載しているように、この攻撃はそれぞれの機能毎にその影響範囲が限られています。 注: GlobalProtect ポータル、GlobalProtect ゲートウェイ、キャプティブ ポータルにおいて、Palo Alto Networks はSSLv3を無効化するように取り組みをしています。このプロセスは2つ以上のメンテナンス リリースを経るかもしれません。追加情報があれば、都度本文書を更新してまいります。   管理ウェブ GUI サーバー Palo Alto Networks は、デバイスの管理サービスを専用のVLANに制限するか、もしくは信頼できるネットワークとしてセグメントを分け、可能な限り信頼されないホストに晒されないようにすることを推奨します。仮にそれができない場合は、ウェブGUIはSSLv3リクエストに応答することになります。 注: PAN-OS 5.0.16、6.0.8、6.1.2以降のバージョンにおいて、デバイスの管理用コネクションにSSLv3は使用しないようになっています。   GlobalProtect ポータル GlobalProtect ポータル ページはブラウザでアクセスした場合、CVE-2014-3566の影響を受ける場合があります。攻撃が成功した際に取得される情報は認証クッキーのみです（ユーザ名、パスワードは窃取されません）。 ポータル ページにおける認証クッキーはGlobalProtectクライアントをダウンロードするためだけに使用され、GlobalProtectのログインやVPN接続には使用されません。   GlobalProtect ゲートウェイ GlobalProtect ゲートウェイは実際にSSLv3リクエストに対して応答をします。ただし、CVE-2014-3566が成功するためには、攻撃者が用意したJavascriptやウェブ ソケット コードと共にブラウザがハイジャックされ、かつクッキーを含んだリクエストが被害者のサーバーに向けて発行され１バイトずつ復号化される必要があります。GlobalProtect エージェントはブラウザではないので、このような攻撃に対して影響を受けません。   キャプティブ ポータル キャプティブ ポータルはSSLv3リクエストに対して応答をしますが、キャプティブ ポータルは内部的にユーザを認証するものであり、設定が正しく成されていれば外部からアクセスはされません。ただし、内部に感染したクライアントが存在すれば、それが攻撃の起点になる可能性があります。   Panorama Palo Alto NetworksファイアウォールとPanorama間でのコネクションではSSLv3をサポートしないため、本脆弱性の影響を受けません。   著者: gwesson

※この記事は以下の記事の日本語訳です。 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory https://live.paloaltonetworks.com/t5/Threat-Articles/Addressed-Palo-Alto-Networks-Product-Security-Regarding-the-June/ta-p/59677     更新: 本文書に書かれた問題は既に対応済みです。 この問題は、PAN-OS 6.0.4, 5.1.9, 5.0.14にて対応済みです。これらのバージョン、もしくはそれ以降のバージョンにすることで問題は回避されます。   要約 Palo Alto Networks PAN-OS ソフトウェアは、特定の限られたケースにおいて、マン・イン・ザ・ミドル (MITM) 攻撃に繋がる脆弱性CVE-2014-0224の影響を受ける可能性があります。これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。なお、GlobalProtectは影響を受けません。   注: 2014年6月5日に報告されたOpenSSLの脆弱性のうち、その他6つのCVEに関しては、弊社のソフトウェア プラットフォームは影響を受けません。   詳細 Palo Alto Networksの製品セキュリティ エンジニア チームは2014年6月5日に報告されたOpenSSLの脆弱性が弊社の製品に影響を及ぼすかどうか解析を行いました。記載されている7つのCVEのうち、CVE-2014-0224のみが弊社のソフトウェアに関連していることがわかりました。残りのCVEに関しては、弊社のソフトウェアは DTLS (Datagram Transport Layer Security)、及びアノニマス ECDH (Elliptic curve Diffie-Hellman) を使わないため影響はありません。CVE-2014-0224による影響も限られています。何故なら、影響を受けるのはクライアントとサーバーが同時に脆弱である場合であるためです。PAN-OSはクライアントとしては影響を受けますが、サーバーとしては影響を受けません。結果、マン・イン・ザ・ミドル (MITM) 攻撃の影響を受ける可能性があるのは、脆弱性のあるOpenSSLバージョン(OpenSSL 1.0.1 and 1.0.2-beta1)を使っている外部のサーバーに弊社のソフトウェアが接続をしにいった際に作られるセッションのみに限られます。   お客様の設定によって、MITMに対して脆弱なサービスは様々です。例えば、脆弱なOpenSSLサーバーを動かしているプロキシをSSLを用いて使うファイアウォールのサービスであったり、脆弱なOpenSSLサーバーを動かしているsyslogサーバーへSSLでログ転送するサービスであったり、脆弱なOpenSSLサーバーを動かしているディレクトリ サーバーに接続に行くユーザーIDエージェントなどがあります。GlobalProtectポータルとゲートウェイは脆弱でないため、GlobalProtectは影響を受けません。   これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンのPAN-OS、ユーザーIDエージェント、GlobalProtectに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。お客様は、自身が運用するサーバーにおいて脆弱性のあるOpenSSLのバージョン(1.0.1 and 1.0.2-beta1)を使わないようにすることで、上記に書かれた問題を回避することができます。不明な点がありましたら、Palo Alto Networks サポートチームにお問い合わせ下さい。    OpenSSL アドバイザリ: https://www.openssl.org/news/secadv_20140605.txt  (英文)   著者: gwesson

※この記事は以下の記事の日本語訳です How to Implement Certificates Issued from Microsoft Certificate Services https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Implement-Certificates-Issued-from-Microsoft-Certificate/ta-p/56757     概要 Microsoft Certification Authorityを使用すると、ユーザーはSSL復号化 （フォワード プロキシ）、GlobalProtectといった各種機能のシームレスなの展開が可能となります（ルート証明書がすべてのクライアントにプッシュされることを想定）。Microsoft Certification Authorityによって、管理用のweb UIアクセス時の証明書関連エラーも発生しなくなります。   Windows Server 2008 Enterpriseで Microsoft Certification Authorityを認証局としたルート証明書のバックアップ/エクスポート、ないしは下位認証局の証明書作成/エクスポートに使用します。これによりルート証明書が保全された上で下位にていつでも証明書の廃止ができ、またこれらはクライアントからは完全に透過的な実施となります。下位認証局は Microsoft Certificate Serviceのweb UIから‘Advanced Certificate Request’を使用して、その認証局が下位認証局テンプレートもつことで作成できます。   certificate services のwebページが機能しない場合、ドメイン コントローラーのコマンド ラインから下記のコマンドで証明書を生成してください。 C:\> certreq.exe -submit -attrib "CertificateTemplate:SubCA" <CSR file>   下位認証局を Microsoft Certificate Serviceにて作成できない場合、SSL復号化用の証明書を取り急ぎ署名する目的で、ルート証明書（秘密鍵有り）をエクスポートし、パロアルトネットワークス ファイアウォールにインポートすることができます。 重要！ このワークアラウンドは十分な注意の上で適用してください。下位の認証局証明書の発行が行われたら、ルート証明書は即座にパロアルトネットワークス ファイアウォールから削除することを強く推奨します。    手順 ルート証明書をCAからバックアップ/エクスポートするために、 Certification Authorityスナップインを起動し、export wizardに従って操作します。 Certification Authorityスナップインを起動し、認証局上で右クリックします。下記の図の通りに表示のメニューから"All Tasks" そして "Back up CA…"を選択します。 Nextを選択して Backup Wizardを継続します。 "Private key and CA certificate"のチェックボックスを選択します。秘密鍵（Private key）なしでは認証局として署名をすることができなくなり、SSL復号化/フォワード プロキシの今回の要件を満たさなくなります。 パスワードを入力して安全な場所に保存します。パスワードはインポート時に必要になります。 Finishをクリックして backup/export 作業を終了します。証明書/秘密鍵は'.p12フォーマット'で保存されます。   回避策（workaround） Microsoft Certificate Authorityによるルート証明書で下位認証局証明書を作成するために、一時的にルート証明書を認証局からパロアルトネットワークス ファイアウォールにインポートします。そして新しい下位認証局証明書をルート証明書を用いて作成/署名します。この例ではMicrosoftルート認証局である'InternalCA'が、下位認証局証明書'SubordinateCA'を認証局として作成しています。 重要！ 下位認証局証明書を発行し次第、ルート証明書は削除してください。 これによりルート認証局証明書（下位認証局証明書の作成後に削除する）を介さず、パロアルトネットワークス ファイアウォールによる組織内への下位認証局証明書の配布が可能となります。クライアントのシステムにルート証明書がインストールされていると（通常AD/GPO、スクリプトなどにより展開される）、下位証明書はルートにより署名されているため、デフォルトで信頼されます。以下の例はSSL復号化での完全/有効な証明書チェーンを示しています。証明書は下位認証局証明書により作成されたうえ、ルートで検証されています。 ルート証明書が認証局としてインポートしたり、下位証明書が認証局としてインポート/作成されたりすることによって、（以前はユーザーにより展開されていた）SSL復号化の展開の他にも、GPのサーバー用に署名された証明書や安全なWebUIへの管理者アクセス、クライアント証明書なども同様のメリットを享受できます。   著者：bryan

※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect for Authentication Using Only Certificates（訳注1） https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-for-Authentication-Using-Only/ta-p/54910   概要 この文書は証明書のみを使用したGlobalProtectの認証の設定手順を記載します。ユーザーはログインのための入力を促されることはありません。   手順 [Device] > [証明書の管理] > [証明書プロファイル] で証明書プロファイルを作成します。 [ユーザー名フィールド]が'サブジェクト'かつ右隣のグレーアウトされた欄が"common-name'であることを確認しておいてください。[CA証明書]欄にCA証明書を追加します。 下図は作成した証明書の一例です。 GlobalProtectゲートウェイを設定します。 [認証プロファイル]をNoneとし、前述の手順1で設定した証明書プロファイルを[証明書プロファイル]設定します。 GlobalProtectポータルを設定します。 [認証プロファイル]をNoneとし、[クライアント証明書]と[証明書プロファイル]を選択します。 注：クライアント証明書をファイアウォールで生成するということは、該当のクライアント証明書をサポートする証明書基盤がネットワーク上で構築済みであることが前提とされます。あるいは[クライアント証明書]はマルチユーザー環境では必要なく、推奨されません。それぞれのユーザーが認証局から個別の証明書を受け取って使用する運用とするため、ユーザーの証明書を署名した認証局を設定した[証明書プロファイル]を使うほうが良いでしょう（訳注2）。 [クライアントの設定]タブにて[シングル サインオンの使用（SSOの使用）]のチェックを外します。 ルート証明書とクライアント証明書をクライアントPCのWindowsのローカルコンピュータの証明書ストア、またはMacOSのシステム キーチェーンにインストールします。 注：クライアント マシン証明書をパロアルトネットワークスのデバイスからエクスポートするときはPKCS12ファイル フォーマットを選択する必要があります。 クライアント証明書を クライアントPCのWindowsの現在のユーサーの証明書ストア、またはMacOSの個人用キーチェーンにインストールします。 Global Protectクライアントではユーザー名とパスワードを入力する必要がなくなります。 ファイアウォールで設定をコミットします。GlobalProtectクライアントは自動的にゲートウェイに接続します。該当のゲートウェイの[リモートユーザー]でクライアント証明書によるログインのユーザーが確認できます。   訳注1:原文のComment欄では、証明書認証でのGlobalProtect使用について、設定時の注意事項も含めてディスカッションが継続して行われております。原文もあわせてご参照ください。   訳注2:PAN-OS 5.0以降では認証そのものは[証明書プロファイル]でおこなわれ、[クライアント証明書]に設定した証明書はクライアント－ポータル/ゲートウェイの双方向認証のために、Windows の現在のユーザーの証明書ストア、またはMacOS の個人用キーチェーン端末の証明書ストアにインストールされます。詳細はGlobal Protect管理者ガイドを御覧ください。 PAN-OS 5.0からの挙動についてはGP Portal No Longer Prompts for Client Certificates after PAN-OS v5.0.x Upgrade をご参照ください 。     著者：pvermuri

※この記事は以下の記事の日本語訳です。 How to Implement and Test SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719   概要 PAN-OSはPalo Alto Networks ファイアウォールを経由する通信の復号化、SSL インバウンド／アウトバウンド インスペクションを実施します。SSLの復号化は、Layer 3およびVirtual Wireモードで使われるインターフェイスで、SSLルールによって、トラフィックの復号化設定されたものに対して実施されます。特に、 復号 化は、URLカテゴリー、ソースユーザー、そしてソースアドレス、ターゲットアドレスをベースにして指定することができます。一旦 復号 化されると、暗号化トンネル内のアプリケーション、脅威、URLフィルタリング、ファイル ブロッキング、データ フィルタリングなどを検知してコントロールすることができます。 復号 化された通信がファイアウォールから流出することはありません。   SSL インバウンド インスペクション 内部Webサーバー、終端装置への内側方向通信の場合、管理者は守るべきサーバー証明書やキーのコピーを取り込む必要があります。ファイアウォールにサーバー証明書とSSL復号化ポリシーが内側方向の通信に設定されていると、ファイアウォールはトラフックを復号化、情報を読み取った後に転送します。パケット データ及びクライアント システムから内部サーバーへの暗号化通信には変更は加えられません。ファイアウォールは暗号化通信を通じて、悪意のあるコンテンツの検知、アプリケーション コントロールを実施します。   アウトバウンドSSL復号化 （SSLフォワード プロキシ） ファイアウォールが外側通信SSLに対して、SSL通信をインターセプトしてそのユーザーがアクセスしたいサイトの証明書を作り、プロキシの動作をする場合です。 機器上で生成された証明書の有効日付は、実際のサーバー証明書から取得されます。機器上で生成された証明書の発行局はPalo Alto Networks機器です。もしファイアウォールの証明書が既存階層の一部でなかったり、クライアント インターネット ブラウザにキャッシュとして追加されていない場合、クライアントはセキュアなサイトにアクセスする際に、警告メッセージを受け取ります。もし実際のサーバー証明書がPalo Alto Networksファイアウォールによって信任されていない認証局によって発行されている場合、攻撃者が仲介していないかユーザーに警告するために、復号化証明書を2次的な信頼されない認証局 （CA）キーとして扱われます。   SSL復号化設定をするためには ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 認証局 （CA）がファイアウォール上に設定 SSL復号化ルールの設定 SSL復号化、通知ページ設定 （任意設定） 設定変更をCommitし、復号化試験   手順 1. ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 Palo Alto Networks ファイアウォールには、既に動作するインターフェイス（Virtual WireもしくはLayer 3）、ゾーン、セキュリティ ポリシーが設定されており、通信が通過していることをご確認ください。   2. 認証局 （CA）がファイアウォール上に設定 認証局 (CA) が生成されたSSL証明書によって、トラフィックを正しく復号化するためには、ファイアウォール上で自己証明書を作成するか、従属するCA（社内にあるPKI構成）からをインポートすることです。"Forward Trust Certificate" と "Forward Untrust Certificate" を一つ以上の証明書で、ファイアウォールで通信を復号化するために有効にします。 注意 :  SSL証明書プロバイダー（Entrust, Verisign, Digicert, GoDaddyなど）は認証局 (CA) を販売していません。これらはSSL復号化ではサポートされていません。   ファイアウォールのGUIにアクセスし、Device > Certificatesに移動します。インバウンド インスペクションもしくはアウトバウンド インスペクション（SSLフォワード プロキシ）の為、証明書を取り込むか、生成します。   自己証明書を作る 自己証明書を作ることを推奨します。自己証明書の作り方については以下の記事をご参照ください。 How to Generate a New Self-Signed SSL Certificate   Microsoft Certificate Serverから証明書を作成、インポートする 組織に帰属するMicrosoft Certificate Serverから、Advanced Certificateを“Subordinate CA”証明書テンプレートを使用してリクエストして、証明書をダウンロードします。 ダウンロードの後、ローカルの証明書ストアから、証明書をエクスポートします。IE設定ではインターネット オプション設定 -> コンテンツ タブ -> 証明書をクリックします。新しい証明書は、個人タブからエクスポートできます。証明書のエクスポート ウィザードを選び、プライベート キーをエクスポートします。そしてフォーマットとパスフレーズ、ファイル名、保存先を選びます。証明書はPFXフォーマット(PKCS #12)となります。 証明書を取り出すために、以下のopenSSLコマンドを実行します。 openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys キーを取り出すためにはopenSSLの以下のコマンドです。 openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts pemファイルとkeyfile.pemファイルをPalo Alto Networksファイアウォールに取り込むには、Deviceタブ > Certificates画面です。 High Availability (HA)ペアの場合、これらのファイルをセカンダリーのPalo Alto Networksファイアウォールにロードする、もしくは証明書とキーをコピーするには、DashboardのHigh Availabilityウィジットにて実行します。   以下が"Forward Trust"と"Forward Untrust"証明書の例です。     注意 : 自己証明局を使う場合、公共CA 証明書をファイアウォールからエクスポートし、各々の端末ブラウザーに信頼されたルート証明機関としてインストールすることにより、ブラウザー上で信頼されないルート証明機関としてエラー表示されるのを避ける必要があります。ネットワーク管理者はグループ ポリシー（GPO）を使って各々のワークステーションに証明書を配布することができます。   以下は自己証明局のCA証明書を信用していない場合のブラウザー上のエラー例です。   信頼されていないCA 証明書エラー : Firefox   信頼されていないCA 証明書エラー : Chrome   信頼されていないCA 証明書エラー : Internet Explorer   3. SSL復号化ルールの設定 ネットワーク管理者は復号化する他の要件を決定します。SSL復号化ルールにはいくつかの推奨があります。 復号化するルールを徐々に進める方法 : 復号化するルールを特定のものからスタートして、典型的なSSL通信をファイアウォールにより復号化してモニターします。 ユーザーがプライバシー侵害と考える次のようなカテゴリを復号化することを避けます。 Financial services Health and medicine サーバーがクライアント証明（ユーザーID特定の為）を要求するようなアプリは復号化しないようにします。 PAN-OS 5.0から紹介されている機能で、クライアント認証を要求されているコネクションを、復号化プロファイルでブロック、許可することができます。   アウトバンド向け復号化ルールの 推奨サンプル例です。 4. SSL復号化、通知ページ設定 （任意設定） Device タブ > Response Pages 画面で、SSL復号化されたときにユーザーに通知するレスポンス ページの設定ができます。”SSL Decryption Opt-out Page”の"Disabled"をクリックし、"Enable SSL Opt-out Page"をチェックしてOKを選択します。   デフォルト設定のSSL Opt-out pageページが表示されます。HTMLエディターで編集して、インポートすることにより、会社特有の情報を表示することができます。   5. 外向けSSL通信復号化試験 アウトバウンド復号化通信試験には、 アウトバウンド ポリシー上で、いかなるウィルスが発見された場合、アラートが出るように設定してください。さらに、Anti-Virusセキュリティ プロファイルで、パケット キャプチャを取得するように設定して変更をCommitで反映してください。 内部PCからファイアウォール経由で、www.eicar.orgにアクセスして、右上にある、 “Download Anti Malware Testfile"をクリックします。 次の画面で、下までスクロール ダウンします。 Eicarテスト ファイルをhttpでダウンロードします。以下の4つのファイルはウィルス検知されます。 Monitor タブ > Logs > Threatでeicarファイルのログ ファイルを探します。 ログの左側にある緑の↓矢印をクリックすると取得されたパケットが参照できます。 その左にある虫眼鏡アイコンをクリックすると、ログの詳細が参照できます。 下までスクロールして、“Decrypted”フィールドを確認すれば、セッションが復号化されていなかったのがわかります。   www.eicar.orgのダウンロードページに戻って、今回は、SSL enabled protocol HTTPSでテスト ウィルス ファイルをダウンロードします。 Threatを確認すると、ウィルスは検知されているはずです。すなわちSSLコネクションは復号化されたわけです。Web browsingでポート443を使ったEicarが検知されているログ メッセージによって可視化されています。 緑の↓矢印にをクリックすることによってパケットの詳細がみれます（確認作業はhttpの時と同じです） ログ エントリーの左にある虫眼鏡アイコンをクリックして、スクロール ダウンし、Flagsフィールドの “Decrypted”にチェックが入っていることが確認できます。   SSL暗号化通信中のウィルスが検知されていることに成功しています。    “no-decrypt”ルールの試験には、まず最初に、どのURLカテゴリー（financial services / shopping / health and medicine）で失敗しているか確認します。BrightCloudでは http://www.brightcloud.com/testasite.aspx 、PAN-DBでは Palo Alto Networks URL Filtering - Test A Site  サイトにて、SSL復号化に失敗したURLを入力することによって、何のURLカテゴリーだったか確認できます。ウェブサイトが一旦復号化されるべきでないURLカテゴリーと識別、設定をSSL復号化ルールで定義したら、これらのサイトにアクセスしても証明書エラーは発生されなくなるでしょう。ウェブ ページは正しく表示され、TrafficログでもアプリケーションはSSL、ポートは443と表示されます。   インバウンド通信復号化試験: このインバウンド接続ログを確認すると、SSLとはアプリケーション識別されておらず、実際のSSL通信内のアプリケーション名となっています。虫眼鏡アイコンをクリックすると、この接続が復号化されていることが確認できます. インバウンドSSL復号化をファイアウォール上で有効にした前のトラヒックを調べます。ターゲットとなるサーバー通信を参照します。それらのログにはポート443で、アプリケーションがSSLと検知されているはずです。 ネットワーク外部からの通信はDMZにいるサーバーにSSL経由で接続してきます。証明書エラーもなく、コネクションはプロキシされずに検査されているだけです。   便利なCLIコマンド類: 機器を通じてSSL復号化されている既存のセッション数を確認するには、 > debug dataplane pool statistics | match Proxy   PA-2050では最初の行の出力結果は1024中の既存セッション数が出力されます。次の行のコマンド出力では、5つのSSLセッションが復号化されていることを示します (1024–1019=5): admin@test> debug dataplane pool statistics | match Proxy [18] Proxy session            :    1019/1024    0x7f00723f1ee0   アクティブ セッションで復号されているセッションを表示するには以下のコマンドを使用します。 > show session all filter ssl-decrypt yes state active PAN-OS 4.1、5.0、6.0、6.1でのSSL復号化セッションの最大同時接続数は以下です（双方向の合計です）。 Hardware SSL Decypted Session Limit VM-100 1,024 sessions VM-200 1,024 sessions VM-300 1,024 sessions PA-200 1,024 sessions PA-500 1,024 sessions PA-2020 1,024 sessions PA-2050 1,024 sessions PA-3020 7,936 sessions PA-3050 15,360 sessions PA-3060 15,360 sessions PA-4020 7,936 sessions PA-4050 23,808 sessions PA-4060 23,808 sessions PA-5020 15,872 sessions PA-5050 47,616 sessions PA-5060 90,112 sessions PA-7000-20G-NPC 131,072 sessions PA-7050 786,432 sessions    上限に達すると、全ての新しいSSLセッションは復号化されません。上限に達した場合に新しいSSLセッションをドロップしたい場合 > set deviceconfig setting ssl-decrypt deny-setup-failure yes 機器上で上限に達したかどうかの確認をするには > show counter global name proxy_flow_alloc_failure SSL復号化の証明書を確認するには > show system setting ssl-decrypt certificate Certificates for Global SSL Decryption CERT global trusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1 global untrusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1   SSL復号化設定を確認するには > show system setting ssl-decrypt setting vsys                          : vsys1 Forward Proxy Ready          : yes Inbound Proxy Ready          : no Disable ssl                  : no Disable ssl-decrypt          : no Notify user                  : no Proxy for URL                : no Wait for URL                  : no Block revoked Cert            : yes Block timeout Cert            : no Block unknown Cert            : no Cert Status Query Timeout    : 5 URL Category Query Timeout    : 5 Fwd proxy server cert's key size: 0 Use Cert Cache                : yes Verify CRL                    : no Verify OCSP                  : no CRL Status receive Timeout    : 5 OCSP Status receive Timeout  : 5 Block unknown Cert            : no SSL復号化リソースのリストについては以下のサイトをご参照ください。 SSL Decryption Quick Reference - Resources　（2016年4月時点でリンク先にアクセスできなくなっています。ご迷惑をおかけします）   SSL復号でサポートする暗号スイートについてのさらなる情報については以下のサイトをご参照ください。 SSL Decryption Not Working Due to Unsupported Cipher Suites Limitations and Recommendations While Implementing SSL Decryption How to Identify Root Cause for SSL Decryption Failure Issues   注意: 何かこの文章にさらなる追加をしたい場合は、下にコメントを追記してください。

※この記事は以下の記事の日本語訳です。 How to Install a Chained Certificate Signed by a Public CA https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Install-a-Chained-Certificate-Signed-by-a-Public-CA/ta-p/55523   概要 Palo Alto Networks 次世代ファイアウォールを設定する際、信頼された公的な証明機関（CA）によって署名された証明書を以下の用途に使うことができます： Captive Portal ("CP") ページ レスポンス ページ GlobalProtect ("GP") ポータル 多くの公的CAはチェーン証明書を使用します。チェーン証明書では、証明書がルート証明書自身によって署名されているのではなく、一つ以上の中間証明書によって署名されています。これらは主に同じCAによって所有され運用されますが、こうすることによって柔軟性を持たせ、何か問題が起きたときに証明書を失効しやすくなります。   手順 1. 証明書のリクエスト ファイアウォールにインストールされているPAN-OSのバージョンによって、秘密鍵とCSRはOpenSSLなどのサードパーティ プログラムを使用して生成する必要があります。 もしPAN-OS 5.0を使用しているのであれば、以下のドキュメントを参照してください。 How to Generate a CSR(Certificate Signing Request) and Import the Signed Certificate   2. 証明書の連結 証明書がルートCAによって署名されない場合、クライアントの信頼済み鍵ストアに中間証明書が既に存在しなければ、中間証明書がクライアントに送信されなければなりません。これを実現するために、CP、GP、またはレスポンスページの証明書に中間証明書が続く形で署名された各証明書を連結します。以下の図は中間証明書が二つの場合の例ですが、中間証明書が一つだけの場合や、複数の場合でも同様のやり方で実現できます。     各証明書を取得する手順は以下の通りです： CAから送られてきた"サーバー証明書"を開きます。 ウィンドウズにおいては証明書のダイアログ ボックスには"全般"、"詳細"、"証明のパス"の三つのタブが存在します。 "証明のパス"をクリックし、一番下から一つ上の証明書をクリックします。 その証明書を開き、詳細タブをクリックします。そしてテキストファイルにコピーします。 そのファイルをBase-64 エンコード X.509 (.CER) フォーマットの証明書として保存します。 同様の手順を一番上のルート証明書以外の全ての証明書に対して行います。 それぞれの .CER 証明書ファイルをプレーン テキスト エディタ (メモ帳など)で開きます。 サーバー証明書を先頭に、各証明書を間を開けずに貼り付けていきます。 拡張子を .TXT または .CER にして保存します。 注: ファイル名に空白文字を含めることはできません。空白文字が存在するとインポートに失敗する恐れがあります。   3. 証明書のインポート 前述の手順で連結した証明書をファイアウォールにインポートします。 PAN-OS 4.1以前のバージョンでは, 秘密鍵をこの証明書と共にインポートする必要があります。詳細は上記手順1を参照してください。OpenSSLでCSRを生成する際に秘密鍵が生成されます。 PAN-OS 5.0においては、秘密鍵は既にファイアウォール上に存在します。証明書のインポートをするためには、以下のドキュメントに書かれた手順を参照してください。 How to Generate a CSR and Import the Signed CA Certificate