TMWSを経由してHTTPSサイトにアクセスする際、以下のケースでは、HTTPSインスペクション機能が無効であっても、当該機能によって自動的にHTTPS通信の復号が行われます。
- クライアント端末に対応する利用ユーザが確認できず、TMWSが「HTTPS通信を復号し、HTTPヘッダ情報から認証情報を確認する必要がある」と判断した場合
(例)仮想ゲートウェイに登録していないIPアドレスからTMWSへ接続した場合
- HTTPSサイトのURLのホスト名がTMWSのブロック対象であるため、当該サイトへのアクセスリクエストに対してTMWSのブロック画面の表示が必要となった場合
いずれの場合にも、クライアント端末には"TMWSへのCA証明書で署名されたサーバ証明書"が返却されるため、クライアント端末にTMWSのCA証明書のインストールしていない場合、サーバ証明書を信頼できないことに起因してブラウザの警告画面が表示されます。
ブラウザの警告画面表示への対策
上述のケースでは、それぞれTMWSの以下のCA証明書がHTTPS通信の復号で使用されます。
それぞれのCA証明書のクライアント端末へのインストールをお願いいたします。
1.クライアント端末に対応する利用ユーザが確認できず、TMWSが「HTTPS通信を復号し、HTTPヘッダ情報から認証情報を確認する必要がある」と判断した場合
管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書が使用されます。
"クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"
インストールにつきましては、こちらをご参照ください。
2.HTTPSサイトのURLのホスト名がTMWSのブロック対象であるため、当該サイトへのアクセスリクエストに対してTMWSのブロック画面の表示が必要となった場合
管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ルール]のルール名「初期設定」のルールで使用されているCA証明書が使用されます。
ただし、以下のオンラインヘルプに記載の手順で、「お客様環境独自のCA証明書でクロス署名したTMWSのCA証明書」を設定されている場合は、「お客様環境独自のCA証明書」をクライアント端末へインストールいただくことになります。
・クラウドプロキシ用のCA証明書のクロス署名
・オンプレミス用のCA証明書のクロス署名
また、オンプレミスゲートウェイでは、バージョン3.5.1.5578から、「お客様環境独自のCA証明書」をそのまま「HTTPSインスペクション機能用のCA証明書」として使用できるようになりました。
詳細はこちらをご参照ください。こちらの場合も、「お客様環境独自のCA証明書」のクライアント端末へのインストールが必要となります。
各証明書のインストールについては、こちらをご参照ください。