ビュー:

ZTSAのHTTPSインスペクション機能の使用にあたってインストールが必要となるCA証明書は、HTTPSインスペクションのルールでどのCA証明書を使用するかで変わります。
各ルールが使用するCA証明書は、ZTSA管理画面の [ポリシー] > [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] > (対象ルールの編集ボタンをクリック) > [証明書]から確認できます。

以降、各ケースでインストールする必要のあるCA証明書について説明いたします。
なお、以下の「1-1.組み込みCA証明書(クラウドゲートウェイ用)」につきましては、こちらに記載の通り、HTTPSインスペクションを有効にしていない環境でもクラウドゲートウェイへのアクセスでインストールが必要になるケースがございます。
あらかじめ各クライアント端末にインストールすることをご検討ください。

1. クラウドゲートウェイ向け

1-1. 組み込みCA証明書(クラウドゲートウェイ用)

HTTPSインスペクション機能の使用にあたり、ZTSAクラウドゲートウェイはデフォルトで「組み込みCA証明書(クラウドゲートウェイ用)」でサーバ証明書への再署名を行います。
そのため、クラウドゲートウェイを使用するクライアント端末には、基本的に「組み込みCA証明書(クラウドゲートウェイ用)」のインストールが必要となります。

組み込みCA証明書(クラウドゲートウェイ用)は、ZTSA管理画面の [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] で設定ボタン(画面右に表示される歯車マーク)をクリックした際に表示される、「クラウドゲートウェイ証明書」内の以下のリンクからダウンロード可能です。

 "組み込み証明書のダウンロード (Internet Access Service提供)"

 
組み込み証明書には「組み込みCA証明書(クラウドゲートウェイ用)」と「組み込みCA証明書(オンプレミスゲートウェイ用)」の2つが存在し、それぞれ異なるものとなっております。
組み込み証明書をダウンロードする際には、対象を間違えないようにご注意ください。

■Secure Access Moduleを使用しない端末

当該CA証明書をZTSA管理画面からダウンロードし、クライアント端末に配布した上で、インストールいただく必要があります。
インストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。

■Windows版Secure Access Moduleを使用する端末 / MacOS版Secure Access Moduleを使用する端末

当該CA証明書は、Secure Access Moduleのインストールで同時に自動インストールされます。
追加で必要な対応はございません。

■iOS版Secure Access Moduleを使用する端末 / Android版Secure Access Moduleを使用する端末

Vision Oneと統合したMicrosoft Intune、Google Workspace、Mobile Device Directorを使用してSecure Access Moduleを展開する場合は、自動的に当該CA証明書も配布されます。
Vision OneとMicrosoft Intune/Google Workspaceの統合設定およびMobile Device Directorについての詳細は、下記のオンラインヘルプをご参照ください。


上記以外のモバイルデバイス管理(MDM)機能を用いてSecure Access Moduleを展開する場合は、ZTSA管理画面から手動で当該CA証明書をダウンロードいただいた上でご利用のMDMにアップロードして各端末に展開いただく必要があります。
展開手順につきましては、こちらのオンラインヘルプをご参照ください。

1-2. カスタムCA証明書(クラウドゲートウェイ用)

HTTPSインスペクション機能の使用にあたり、組み込みCA証明書(クラウドゲートウェイ用)ではなく、お客様の独自CA証明書でクロス署名されたCA証明書で、サーバ証明書への再署名を行う設定も可能です。
本項では、クロス署名完了後のCA証明書を「カスタムCA証明書(クラウドゲートウェイ用)」、クロス署名に使用されたお客様のCA証明書を「お客様の独自CA証明書」と表記します。

カスタムCA証明書(クラウドゲートウェイ用)の作成方法については、こちらをご覧ください。

HTTPSインスペクションルールで使用される初期設定のCA証明書をお客様側で変更いただいた場合、または、
HTTPSインスペクションルールの[証明書]にて[カスタム証明書]が選択されている場合
対象のHTTPS通信におけるサーバ証明書への再署名には「カスタムCA証明書(クラウドゲートウェイ用)」が使用されます。

こちらの場合、「お客様の独自CA証明書」のクライアント端末へのインストールが必要となります。

なお、「カスタムCA証明書(クラウドゲートウェイ用)」は企業の静的パブリックIPアドレスからの通信に対してのみ使用されます。
クラウドゲートウェイの「パブリック/ホームネットワーク(初期設定)」には適用されません。
「パブリック/ホームネットワーク(初期設定)」に対しては、本項のカスタムCA証明書(クラウドゲートウェイ用)の設定有無にかかわらず、「1-1 組み込みCA証明書(クラウドゲートウェイ用)」が使用されます。
社外環境で使用するPCなど、「パブリック/ホームネットワーク(初期設定)」からZTSAクラウドゲートウェイにアクセスするPCには、「1-1 組み込みCA証明書(クラウドゲートウェイ用)」をインストールして下さい。

■Secure Access Moduleを使用しない端末/Windows版Secure Access Moduleを使用する端末/MacOS版Secure Access Moduleを使用する端末

お客様組織の独自CA証明書をクライアント端末に展開した上で、インストールいただく必要があります。
インストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。

■iOS版Secure Access Moduleを使用する端末 / Android版Secure Access Moduleを使用する端末

お客様組織の独自CA証明書をご利用のMDMにアップロードして各クライアント端末に展開した上で、インストールいただく必要があります。

2. オンプレミスゲートウェイ向け

2-1. 組み込みCA証明書(オンプレミスゲートウェイ用)

HTTPSインスペクション機能の使用にあたり、ZTSAオンプレミスゲートウェイはデフォルトで「組み込みCA証明書(オンプレミスゲートウェイ用)」でサーバ証明書への再署名を行います。
そのため、オンプレミスゲートウェイを使用するクライアント端末には、基本的に「組み込みCA証明書(オンプレミスゲートウェイ用)」のインストールが必要となります。

組み込みCA証明書(オンプレミスゲートウェイ用)は、ZTSA管理画面の [Secure Access Configuration] > [Internet Access Configuration] > [HTTPSインスペクション] で設定ボタン(画面右に表示される歯車マーク)をクリックした際に表示される、「オンプレミスゲートウェイ証明書」内の以下のリンクからダウンロード可能です。

 "組み込み証明書のダウンロード (Internet Access Service提供)"

 
組み込み証明書には「組み込みCA証明書(クラウドゲートウェイ用)」と「組み込みCA証明書(オンプレミスゲートウェイ用)」の2つが存在し、それぞれ異なるものとなっております。
組み込み証明書をダウンロードする際には、対象を間違えないようにご注意ください。

■Secure Access Moduleを使用しない端末

当該CA証明書をZTSA管理画面からダウンロードし、クライアント端末に配布した上で、インストールいただく必要があります。
インストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。

■Windows版Secure Access Moduleを使用する端末 / MacOS版Secure Access Moduleを使用する端末

当該CA証明書は、Windows版Secure Access Moduleのインストールで同時に自動インストールされます。
追加で必要な対応はございません。

■iOS版Secure Access Moduleを使用する端末 / Android版Secure Access Moduleを使用する端末

Vision Oneと統合したMicrosoft Intune、Google Workspace、Mobile Device Directorを使用してSecure Access Moduleを展開する場合は、自動的に当該CA証明書も配布されます。
Vision OneとMicrosoft Intune/Google Workspaceの統合設定およびMobile Device Directorについての詳細は、下記のオンラインヘルプをご参照ください。


上記以外のモバイルデバイス管理(MDM)機能を用いてSecure Access Moduleを展開する場合は、ZTSA管理画面から手動で当該CA証明書をダウンロードいただいた上でご利用のMDMにアップロードして各端末に展開いただく必要があります。
展開手順につきましては、こちらのオンラインヘルプをご参照ください。

2-2. カスタムCA証明書(オンプレミスゲートウェイ用)

HTTPSインスペクション機能の使用にあたり、組み込みCA証明書(オンプレミスゲートウェイ用)ではなく、お客様の独自CA証明書でクロス署名されたCA証明書で、サーバ証明書への再署名を行う設定も可能です。
本項では、クロス署名完了後のCA証明書を「カスタムCA証明書(オンプレミスゲートウェイ用)」、クロス署名に使用されたお客様のCA証明書を「お客様の独自CA証明書」と表記します。

カスタムCA証明書(オンプレミスゲートウェイ用)の作成方法については、こちらをご覧ください。

HTTPSインスペクションルールで使用される初期設定のCA証明書をお客様側で変更いただいた場合、または、
HTTPSインスペクションルールの[証明書]にて[カスタム証明書]が選択されている場合
対象のHTTPS通信におけるサーバ証明書への再署名には「カスタムCA証明書(オンプレミスゲートウェイ用)」が使用されます。

こちらの場合、「お客様の独自CA証明書」のクライアント端末へのインストールが必要となります。

■Secure Access Moduleを使用しない端末/Windows版Secure Access Moduleを使用する端末/MacOS版Secure Access Moduleを使用する端末

お客様組織の独自CA証明書をクライアント端末に展開した上で、インストールいただく必要があります。
インストール方法につきましては、こちらのオンラインヘルプをご参照いただくか、ご利用のOSまたはブラウザのサポートドキュメント等をご確認ください。

■iOS版Secure Access Moduleを使用する端末 / Android版Secure Access Moduleを使用する端末

お客様組織の独自CA証明書をご利用のMDMにアップロードして各クライアント端末に展開した上で、インストールいただく必要があります。

キーワード: HTTPSインスペクション用CA証明書のインストールについて:Trend Vision One Zero Trust Secure Access