目次
1.はじめに
TMWSのHTTPSインスペクション機能を有効にすると、アクセス先のHTTPSサイトが管理画面の[ポリシー] > [HTTPSインスペクション] > [復号ルール]のいずれかのルールに合致する場合、HTTPS通信の復号が行われます。TMWSで復号が行われると、TMWSのCA証明書で署名されたHTTPSサーバ証明書がクライアント端末に表示されます。クライアント端末にTMWSのCA証明書をインストールしていない場合、ご利用のブラウザの警告画面が表示されます。
また、HTTPSインスペクション機能を有効にしていない場合でも、こちらに記載のケースにおいて、自動的にHTTPS通信の復号が行われます。
HTTPS通信の復号に伴うブラウザの警告画面表示への対応のため、クライアント端末にはTMWSのCA証明書をインストールいただく必要があります。
TMWSでは、セキュリティ強化のため、クラウドプロキシ環境向けに新CA証明書への移行を行っております。
従来の旧CA証明書も現在使用可能ですが、クラウドプロキシ環境につきましては、2021年11月30日に旧CA証明書の使用が終了予定となります。計画的に以下を1) ⇒ 2)の順番(※)にて実施お願いいたします。
[2021/12/1追記]
クラウドプロキシ環境向けの従来のCA証明書("TREND.IWS.2"の証明書)の使用停止予定日は、2022年1月14日(金)となりました。
[2022/3/17追記]
クラウドプロキシ環境向けの従来のCA証明書("TREND.IWS.2"の証明書)の停止日は、2022年6月30日(木)に延期されました。なお、再度の延期予定はございません。
1)クライアント端末へ、必要なCA証明書をインストール(3.クライアント端末で必要な作業)
2)TMWS管理コンソールから、新CA証明書を設定(4.TMWS管理コンソールで必要な作業)
2.クライアント端末へのインストールが必要なCA証明書
現在、クライアント端末に以下のインストールが必要となります。
(1)クラウドプロキシ環境、オンプレミスゲートウェイで従来より使用しているCA証明書("TREND.IWS.2"の証明書)
管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書です。
"クライアントデバイス用のSSL証明書(オンプレミス用)をダウンロードしてインストールします。"
[ポリシー] > [HTTPSインスペクション] > [復号ルール]で、クラウド用/オンプレミスゲートウェイ用共にデフォルトで設定されているCA証明書です。こちらに記載の通り、利用ユーザが特定できない場合の認証処理で、当該CA証明書を使用してHTTPS通信の復号が行われることがあります。
クラウドプロキシ環境では、2021年11月30日に当該CA証明書の使用を終了予定です。以降は後述の新CA証明書のみを使用いたします。
[2021/12/1追記]
クラウドプロキシ環境の新CA証明書への切り替え(旧CA証明書の停止)は、2022年1月14日(金)に実施予定さとなりました。
[2022/3/17追記]
クラウドプロキシ環境向けの従来のCA証明書("TREND.IWS.2"の証明書)の停止日は、2022年6月30日(木)に延期されました。なお、再度の延期予定はございません。
(2)クラウドプロキシ環境用の新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)
管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書です。
"クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"
後述の移行作業が完了しますと、[ポリシー] > [HTTPSインスペクション] > [復号ルール]では当該新CA証明書を使用してHTTPS通信の復号が行われます。
こちらに記載の通り、利用ユーザが特定できない場合の認証処理では、2021年8月現在では上述の(1)のCA証明書を使用してHTTPS通信の復号が行われますが、2021年11月30日以降は新CA証明書が使用される予定となります。
[2021/12/1追記]
クラウドプロキシ環境の新CA証明書への切り替え(旧CA証明書の停止)は、2022年1月14日(金)に実施予定となりました。
[2022/3/17追記]
クラウドプロキシ環境向けの従来のCA証明書("TREND.IWS.2"の証明書)の停止日は、2022年6月30日(木)に延期されました。なお、再度の延期予定はございません。
(3)お客様環境の独自のCA証明書(クロス署名したCA証明書をご利用の場合のみ)
[ポリシー] > [HTTPSインスペクション] > [復号ルール]で使用するCA証明書として、以下の手順で
「お客様環境の独自のCA証明書でクロス署名したTMWSのCA証明書」を設定した場合、お客様環境の独自のCA証明書のインストールが必要です。
・クラウドプロキシ用のCA証明書のクロス署名
・オンプレミス用のCA証明書のクロス署名
3.クライアント端末で必要な作業
2.クライアント端末へのインストールが必要なCA証明書でご案内しました3つのCA証明書のインストールが必要となります。インストール未実施の端末がありましたら、インストールをお願いいたします。
CA証明書のインストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。
適用エージェントまたはモバイルVPNをご利用のクライアント端末につきましては、以下をご参照ください。
適用エージェントをご利用の場合
・Windows版の適用エージェントをご利用の場合
2020年12月公開のバージョン3.4.0.3158以降の適用エージェントをインストールした場合、自動的に従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)がインストールされます。
一方、3.4.0.3158より前のバージョンの適用エージェントをインストールした場合は、自動的に従来のCA証明書("TREND.IWS.2"の証明書)のみがインストールされます。この場合は、新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールを実施いただくか、適用エージェントの最新版へのアップグレードをお願いいたします。
なお、適用エージェントのバージョンは、[コントロールパネル] - [プログラム] - [プログラムのアンインストール] にて"Trend Micro IWSaaS Enforcement Agent" を選択し、コントロールパネル画面最下部に表示されるバージョン情報から確認可能です。
お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合、適用エージェントのインストールでは自動インストールされません。お客様組織の独自CA証明書の手動インストールもお願いいたします。
・Mac OS版の適用エージェントをご利用の場合
適用エージェントのインストールによって、自動的に従来のCA証明書("TREND.IWS.2"の証明書)のみがインストールされます。新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールをお願いいたします。
お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合は、お客様組織の独自CA証明書の手動インストールもお願いいたします。
・iOS/iPad版の適用エージェントをご利用の場合
モバイルデバイス管理機能(MDM)を使用して適用エージェントをインストールした場合、自動的に従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)がインストールされます。
一方、モバイルデバイス管理機能(MDM)を使用せずに適用エージェントを手動インストールした場合、CA証明書は自動インストールされません。従来のCA証明書("TREND.IWS.2"の証明書)と新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)の手動インストールをお願いいたします。
お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合、モバイルデバイス管理機能(MDM)の使用有無を問わず、適用エージェントのインストールでは自動インストールされません。お客様組織の独自CA証明書の手動インストールもお願いいたします。
・Android版の適用エージェントをご利用の場合(2022/5/6追記)
Android版適用エージェントをインストールした場合、新CA証明書("Trend Micro Web Security Cloud Root CA"の証明書)が自動的にインストールされます。旧CA証明書("TREND.IWS.2"の証明書)はインストールされません。旧CA証明書への移行が完了していない場合は、事前に新CA証明書への移行をお願いいたします。
お客様組織の独自CA証明書でクロス署名したCA証明書をご利用の場合は、Android版適用エージェントのインストールでは当該証明書は自動インストールされません。お客様組織の独自CA証明書を手動でご利用のAndroidデバイスにインストール(インポート)いただくようお願いいたします。
モバイルVPNをご利用の場合
こちらのApple iOS用/Android用のモバイルVPNでは、HTTPSインスペクション機能をサポートしておりません。そのため、今回の新CA証明書への移行に伴う作業は不要です。
4.TMWS管理コンソールで必要な作業
以下の手順4.1にて、クラウドプロキシ環境に対する移行作業が必要となるかをご確認いただきます。
必要な場合には、手順4.2以降にて、「新CA証明書」または「お客様組織のCA証明書でクロス署名された新CA証明書」をTMWSへ設定いただくことになります。
4.1. 既存の復号ルールで使用しているCA証明書の確認
管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ル―ル](※)へ移動し、各復号ルールをクリックします。
(※)HTTPSインスペクションが有効でないと、当該画面に移動できません。無効の場合は一時的に[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化”をオンにしてください。
復号ルールの「クラウド用のクロス署名された証明書」の"発行元"と"発行先"を確認します。
そのため、当該復号ルールに対して新CA証明書への移行が必要です。次の手順へ進んでください。
| 情報 | TMWSのデフォルトのCA証明書を使用している場合 | お客様組織の独自CA証明書を使用している場合 |
|---|---|---|
| 発行先 | TREND.IWS.2 | TREND.IWS.2 |
| 発行元 | TREND.IWS.2 | お客様組織の独自CA証明書の値 |
「初期設定」も含めたすべての復号ルールで値が以下となっている場合は、既に新CA証明書への移行が完了しております。以降の手順は不要です。
| 情報 | TMWSのデフォルトのCA証明書を使用している場合 | お客様組織の独自CA証明書を使用している場合 |
|---|---|---|
| 発行先 | Trend Micro Web Security Cloud Root CA | Trend Micro Web Security Cloud Root CA |
| 発行元 | Trend Micro Web Security Cloud Root CA | お客様組織の独自CA証明書の値 |
4.2. 新CA証明書の準備
・TMWSのデフォルトの新CA証明書をご利用の場合
管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]の以下のリンクからファイル"current_cloud_ca_cert.cer"をダウンロードし、ファイル名を"current_cloud_ca_cert.pem"に変更します。
"クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"
・お客様組織の独自CA証明書でクロス署名した新CA証明書をご利用の場合
以下のオンラインヘルプの手順で、お客様組織の独自CA証明書でクロス署名した新CA証明書を作成できます。こちらの手順で作成された"0A.pem"を用意します。
クラウドプロキシ用のCA証明書のクロス署名
4.3. 新CA証明書の各復号ルールへの設定
管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ル―ル]へ移動し、新CA証明書の設定が完了していない復号ルールをクリックします。
「クラウド用のクロス署名された証明書」の”ファイルの選択..."をクリックし、3.2で用意した新CA証明書を選択してアップロードし、"保存"をクリックします。
以降、「初期設定」も含めたすべての復号ルールで「クラウド用のクロス署名された証明書」の"発行先"と"発行元"の値が以下となるまで新CA証明書のアップロードを行います。
なお、HTTPSインスペクション機能そのものを引き続き無効にする場合は、作業完了後、[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化”をオフにしてください。
| 情報 | TMWSのデフォルトのCA証明書を使用している場合 | お客様組織の独自CA証明書を使用している場合 |
|---|---|---|
| 発行先 | Trend Micro Web Security Cloud Root CA | Trend Micro Web Security Cloud Root CA |
| 発行元 | Trend Micro Web Security Cloud Root CA | お客様組織の独自CA証明書の値 |
5.よくあるご質問
Q1.本ページに記載の作業が必要となる対象者を教えていただけないでしょうか。
[2021年12月1日変更]
TMWSのクラウドプロキシ環境をご利用のお客様すべてが対象となります。1.はじめにをご確認のうえ、計画的な移行作業の実施をお願いいたします。
オンプレミスゲートウェイのみをご利用の場合は、本ページの作業は不要です。
ただし、こちらに記載の通り、計画的なデフォルト証明書からの置き換えをご検討ください。
Q2.オンプレミスゲートウェイのみを利用しています。本ページに記載の作業は必要でしょうか。
[2021年12月1日変更]
いいえ。オンプレミスゲートウェイの証明書では使用停止等は発生いたしません。
ただし、こちらに記載の通り、計画的なデフォルト証明書からの置き換えをご検討ください。
Q3.オンプレミスゲートウェイとクラウドプロキシ環境の両方を使用しています。この場合は本ページに記載の作業は必要でしょうか。
[2021年12月1日変更]
はい。クラウドプロキシ環境で使用するCA証明書の移行が必要であるため、本ページに記載の作業が必要です。
オンプレミスゲートウェイにつきましても、こちらに記載の通り、計画的なデフォルト証明書からの置き換えをご検討ください。
Q4.HTTPSインスペクションは使用していません。この場合に本ページに記載の作業は必要でしょうか。
はい、必要です。こちらに記載の通り、HTTPSインスペクションが無効でも、自動的にHTTPSインスペクションが動作するケースがございます。
Q5.本ページに記載の新CA証明書への移行作業を実施しない場合、どのような影響がありますでしょうか。
旧CA証明書がクラウドプロキシ環境で使用されなくなったタイミングで、HTTPSサイトへのアクセスの際、ご利用のブラウザに「ブラウザの証明書警告画面」が表示されることになります。ご利用のブラウザの仕様によっては、HTTPSサイトの閲覧を行えなくなることがございます。
Q6.2021年4月時点では「従来のCA証明書("TREND.IWS.2"の証明書)は将来的に廃止予定」とのことですが、その予定日は分かりますでしょうか。
クラウドプロキシ環境につきましては、この度「2021年11月30日」をもって終了予定となりました。
お手数ですが、当該日まで計画的な移行をお願いいたします。
[2021/12/1追記]
クラウドプロキシ環境の新CA証明書への切り替え(旧CA証明書の停止)は、2022年1月14日(金)に実施されることになりました。
[2022/3/17追記]
クラウドプロキシ環境向けの従来のCA証明書("TREND.IWS.2"の証明書)の停止日は、2022年6月30日(木)に延期されました。なお、再度の延期予定はございません。
Q7.オンプレミスゲートウェイ用のCA証明書も移行の予定はありますでしょうか。
[2022年3月17日変更]
いいえ。現在予定はございません。
2021年12月1日からTMWSのクラウド管理画面に本件に関するポップアップメッセージが表示され、
「オンプレミスゲートウェイ用のCA証明書につきましてもあわせて置き換えていただく」旨をご案内しております。
本内容は、こちらの内容に記載の「オンプレミスゲートウェイのデフォルト証明書からの置き換え」を意味します。
2022年1月14日または2022年6月30日に、当該デフォルト証明書が使用停止になることはございません。
Q8. 従来のCA証明書("TREND.IWS.2"の証明書)が2021年11月30日で終了予定とのことですが、終了以降で当該証明書をクライアント端末から削除する必要はありますか。
削除する必要はございません。
オンプレミスゲートウェイでは、引き続き従来のCA証明書を使用しております。
オンプレミスゲートウェイとクラウドプロキシ環境を併用している場合は、引き続き、クライアント端末への従来のCA証明書のインストールが必要です。
[2022年3月17日変更]
従来のCA証明書("TREND.IWS.2"の証明書)は、クラウド環境では2022年6月30日に使用停止となります。
オンプレミスゲートウェイにつきましては、こちらに記載の通り、デフォルト証明書からの置き換えを推奨しております。
2022年6月30日以降は、従来のCA証明書("TREND.IWS.2"の証明書)を使用しなくなり不要となったタイミングで、クライアント端末から適宜当該証明書を削除いただいて問題ありません。
Q9. 2021年12月1日より、管理画面に本件に関するポップアップメッセージが表示されるようになったかと思います。その中で、オンプレミスゲートウェイの証明書に関しても置き換えを推奨する文言が記載されております。オンプレミスゲートウェイの証明書も2022年1月14日に使用停止となるのでしょうか。
[2022年3月17日変更]
いいえ。オンプレミスゲートウェイのデフォルト証明書は2022年1月14日または2022年6月30日に使用停止とはなりません。
本内容は、こちらの内容に記載の「オンプレミスゲートウェイのデフォルト証明書からの置き換え」を意味します。
2022年1月14日または2022年6月30日に当該デフォルト証明書が使用停止になることはございません。
オンプレミスゲートウェイの場合は、デフォルトではオンプレミスゲートウェイのデフォルトの証明書と秘密鍵で動作することになるため、デフォルト証明書からの置き換えを推奨しております。
置き換えのタイミングの案として、クラウド環境の旧証明書の完全停止のタイミングでの置き換えをご案内するものとなります。